Kuo skiriasi autentifikacija nuo autorizacijos?

Question

Accepted Answer

**Autentifikacija** patvirtina **kas tu esi** (tapatybė), o **autorizacija** nustato **ką tu gali daryti** (leidimai). Tai skirtingos, bet susijusios sąvokos — autentifikacija ateina pirmiau (įrodyti tapatybę), tada autorizacija (patikrinti leidimus). Jų painiojimas yra dažna klaida.

## Autentifikacija — kas tu esi?

```text
AUTHENTICATION (AuthN) verifies IDENTITY — confirming you are who you claim to be:
  → login with credentials (password), tokens, biometrics, multi-factor (MFA)
  → "Prove you are Ann" → the system confirms your identity
→ answers: WHO are you?
```

## Autorizacija — ką tu gali daryti?

```text
AUTHORIZATION (AuthZ) determines PERMISSIONS — what an authenticated user is allowed to do:
  → can this user access this resource? perform this action? (roles, permissions)
  → "Ann is authenticated, but is she allowed to delete this record?"
→ answers: what are you ALLOWED to do?
```

## Ryšys ir tvarka

```text
1. AUTHENTICATION first → establish WHO you are (log in)
2. AUTHORIZATION next → check what you're ALLOWED to do (per request/action)
→ You must be authenticated before authorization is meaningful (know who, then what they can do).
→ Both are needed: authenticated but unauthorized (logged in, but can't do X) is common.
```

## Dažnos klaidos

```text
⚠️ Confusing the two (they're different concerns)
⚠️ BROKEN ACCESS CONTROL (authorization flaws) → a TOP vulnerability (OWASP #1):
   → not checking authorization properly → users access/modify what they shouldn't
   → e.g. changing an ID in a URL to access another user's data (IDOR)
→ Always enforce authorization on the SERVER for every protected action.
```

## Kodėl tai svarbu

Supratimas apie skirtumą tarp autentifikacijos ir autorizacijos yra esmingas, nes tai yra **pagrindinės saugumo sąvokos, kurios yra pagrindinės prieigos kontrolei**, o jų painiojimas yra dažna ir reikšminga klaida, todėl tai yra būtina saugumo žinija.

Skirtumai — **autentifikacija patvirtina kas tu esi** (tapatybė, naudojant prisijungimą/kredencialus/MFA), o **autorizacija nustato ką tu gali daryti** (leidimai, tikrinant prieigą prie išteklių ir veiksmų) — yra pagrindiniai tam, kaip programos kontroliuoja prieigą, ir jų aiškus supratimas yra būtinas saugioms sistemoms kurti.

Supratimas apie **ryšį ir tvarką** (autentifikacija pirmiau, norint nustatyti tapatybę, tada autorizacija, norint patikrinti leidimus kiekvienam veiksmui, kai reikalingos abi — autentifikuotas vartotojas vis tiek gali būti neautorizuotas konkretiems veiksmams) paaiškina, kaip jos veikia kartu prieigos kontrolėje.

Kritiškai svarbu suprasti **dažnias klaidas**: sąvokų painiojimas, ir ypač **sugadinta prieigos kontrolė** (autorizacijos trūkumai — OWASP pirmoji rizika), kai autorizacija nėra tinkamai tikrinama, leidžiant vartotojams pasiekti arba modifikuoti tai, ko jie neturėtų (pavyzdžiui, IDOR pažeidimas, kai URL keičiama ID skaičius, kad būtų galima pasiekti kito vartotojo duomenis).

Patarimas **visada tikrinti autorizaciją serveryje kiekvienam apsaugotam veiksmui** yra esminė saugumo praktika — dažnai pasitaikantis realus pažeidimas yra nepavykimas tinkamai patikrinti autorizacijos arba pasitikėjimas kliento jai užtikrinti.

Kadangi prieigos kontrolė (autentifikacija + autorizacija) yra pagrindinė programų saugumo dalis ir jų sąvokų painiojimas ar netinkamas tvarkymas veda prie rimtų pažeidimų (ypač sugadintos prieigos kontrolės, pagrindinės rizikos), o kadangi skirtumo, jų tvarkos ir dažnų autorizacijos klaidų supratimas yra būtinas saugioms sistemoms kurti, autentifikacijos ir autorizacijos supratimas yra būtina, pagrindinė saugumo žinija — pagrindinės sąvokos prieigos kontrolei, kurias turi suprasti kiekvienas kūrėjas, esminės saugioms programoms kurti ir saugumo pažeidimams, susijusiems su sugadinta prieigos kontrole, kurie yra pačius dažniausi ir rimčiausi, išvengti.