რა განსხვავებაა ავთენტიკაციასა და ავტორიზაციას შორის?

Question

Accepted Answer

**ავთენტიკაცია** ადასტურებს **ვინ ხარ** (იდენტობა), ხოლო **ავტორიზაცია** განსაზღვრავს **რას შეგიძლია გააკეთო** (ნებართვები). ისინი განსხვავებული, მაგრამ დაკავშირებული ცნებები — ავთენტიკაცია პირველი ხდება (იდენტობის დადასტურება), შემდეგ ავტორიზაცია (ნებართვების შემოწმება). მათი აგვერებული გამოყენება ხშირი შეცდომაა.

## ავთენტიკაცია — ვინ ხარ?

```text
AUTHENTICATION (AuthN) verifies IDENTITY — confirming you are who you claim to be:
  → login with credentials (password), tokens, biometrics, multi-factor (MFA)
  → "Prove you are Ann" → the system confirms your identity
→ answers: WHO are you?
```

## ავტორიზაცია — რას შეგიძლია გააკეთო?

```text
AUTHORIZATION (AuthZ) determines PERMISSIONS — what an authenticated user is allowed to do:
  → can this user access this resource? perform this action? (roles, permissions)
  → "Ann is authenticated, but is she allowed to delete this record?"
→ answers: what are you ALLOWED to do?
```

## ურთიერთობა და თანმიმდევრობა

```text
1. AUTHENTICATION first → establish WHO you are (log in)
2. AUTHORIZATION next → check what you're ALLOWED to do (per request/action)
→ You must be authenticated before authorization is meaningful (know who, then what they can do).
→ Both are needed: authenticated but unauthorized (logged in, but can't do X) is common.
```

## ხშირი შეცდომები

```text
⚠️ Confusing the two (they're different concerns)
⚠️ BROKEN ACCESS CONTROL (authorization flaws) → a TOP vulnerability (OWASP #1):
   → not checking authorization properly → users access/modify what they shouldn't
   → e.g. changing an ID in a URL to access another user's data (IDOR)
→ Always enforce authorization on the SERVER for every protected action.
```

## რატომ მნიშვნელოვანია

ავთენტიკაციასა და ავტორიზაციას შორის განსხვავების გაცნობიერება ფундამენტური აუცილებლობაა, რადგან ესენი **ხელმისაწვდომობის კონტროლის ცენტრალური უსაფრთხოების ცნებებია**, და მათი აგვერება ხშირი, მნიშვნელოვანი შეცდომაა, ამიტომ ეს აუცილებელი უსაფრთხოების ცოდნაა.

თავისებურება — **ავთენტიკაცია ადასტურებს ვინ ხარ** (იდენტობა, ლოგინის/კრედენციალების/MFA-ს მეშვეობით), ხოლო **ავტორიზაცია განსაზღვრავს რას შეგიძლია გააკეთო** (ნებართვები, რესურსებსა და ქმედებებზე ხელმისაწვდომობის შემოწმება) — ფუნდამენტური იმისთვის, თუ როგორ აკონტროლებს აპლიკაცია ხელმისაწვდომობას, და მისი ברור გაცნობიერება აუცილებელია უსაფრთხო სისტემების აგებისთვის.

**ურთიერთობა და თანმიმდევრობის** გაცნობიერება (ავთენტიკაცია ჯერ იდენტობის დადგენისთვის, შემდეგ ავტორიზაცია ნებართვების შემოწმებისთვის თითოეული ქმედების მიხედვით, ორივე აუცილებელია — ავთენტიცირებული მომხმარებელი შეიძლება უაზრო იყოს კონკრეტულ ქმედებებზე) ნათელი ხდის, თუ როგორ მუშაობენ ისინი ერთად ხელმისაწვდომობის კონტროლში.

კრიტიკულად მნიშვნელოვანია **ხშირი შეცდომების** გაცნობიერება: ორი კონცეფციის აგვერება, და განსაკუთრებით **დაკბინა ხელმისაწვდომობაში** (ავტორიზაციის ხარვეზები — OWASP-ის #1 რისკი), სადაც ავტორიზაცია სათანადოდ არ არის შემოწმებული, რაც მომხმარებლებს საშუალებას აძლევს მიიკითხონ ან შეცვალონ ის, რაც არ უნდა (როგორიცაა IDOR დაუცველობა, როდესაც მომხმარებელი ცვლის ID-ს URL-ში სხვა მომხმარებლის მონაცემებზე წვდომისთვის).

**ყოველთვის სერვერში ავტორიზაციის აღმოჩენა ყოველი დაცული ქმედებისთვის** ესენციალური უსაფრთხოების პრაქტიკაა — ხშირი ნამდვილი დაუცველობა ავტორიზაციის სათანადო შემოწმების ჩავარდნა, ან კლიენტზე დაკმაყოფილების განხორციელება.

ვინაიდან ხელმისაწვდომობის კონტროლი (ავთენტიკაცია + ავტორიზაცია) ფუნდამენტური აპლიკაციის უსაფრთხოებაა და ამ კონცეფციების აგვერება ან უპრეცედენტო მეთოდოლოგია სერიოზულ დაუცველობას იწვევს (განსაკუთრებით დაკბინა ხელმისაწვდომობაში, ზედა რისკი), და ვინაიდან თავისებურების, მათი თანმიმდევრობის და ხშირი ავტორიზაციის შეცდომების გაცნობიერება აუცილებელია უსაფრთხო სისტემების აგებისთვის, ავთენტიკაცია და ავტორიზაცია ფუნდამენტური, აუცილებელი უსაფრთხოების ცოდნაა — ხელმისაწვდომობის კონტროლის ცენტრალური კონცეფცია, რომელიც თითოეულმა დეველოპერმა უნდა გაიცნოს ცხადად, ცენტრული უსაფრთხო აპლიკაციების აგებისთვის და დაკბინა-ხელმისაწვდომობის დაუცველობის თავიდან აცილებისთვის, რომელიც ყველაზე გავრცელებული და სერიოზული უსაფრთხოების ხარვეზებს შორის არის.