Apakah perbezaan antara authentication dan authorization?

Question

Accepted Answer

**Authentication** mengesahkan **siapa anda** (identiti), manakala **authorization** menentukan **apa yang anda dibenarkan lakukan** (kebenaran). Keduanya berbeza tetapi berkaitan — authentication datang dahulu (buktikan identiti), kemudian authorization (semak kebenaran). Mengelirukan keduanya ialah kesilapan yang biasa.

## Authentication — siapa anda?

```text
AUTHENTICATION (AuthN) verifies IDENTITY — confirming you are who you claim to be:
  → login with credentials (password), tokens, biometrics, multi-factor (MFA)
  → "Prove you are Ann" → the system confirms your identity
→ answers: WHO are you?
```

## Authorization — apa yang anda boleh lakukan?

```text
AUTHORIZATION (AuthZ) determines PERMISSIONS — what an authenticated user is allowed to do:
  → can this user access this resource? perform this action? (roles, permissions)
  → "Ann is authenticated, but is she allowed to delete this record?"
→ answers: what are you ALLOWED to do?
```

## Hubungan dan urutan

```text
1. AUTHENTICATION first → establish WHO you are (log in)
2. AUTHORIZATION next → check what you're ALLOWED to do (per request/action)
→ You must be authenticated before authorization is meaningful (know who, then what they can do).
→ Both are needed: authenticated but unauthorized (logged in, but can't do X) is common.
```

## Kesilapan biasa

```text
⚠️ Confusing the two (they're different concerns)
⚠️ BROKEN ACCESS CONTROL (authorization flaws) → a TOP vulnerability (OWASP #1):
   → not checking authorization properly → users access/modify what they shouldn't
   → e.g. changing an ID in a URL to access another user's data (IDOR)
→ Always enforce authorization on the SERVER for every protected action.
```

## Mengapa ia penting

Memahami perbezaan antara authentication dan authorization adalah asas kerana keduanya merupakan **konsep keselamatan teras yang penting kepada kawalan capaian**, dan mengelirukan keduanya ialah kesilapan biasa yang membawa akibat, jadi ia adalah pengetahuan keselamatan yang penting.

Perbezaan itu — **authentication mengesahkan siapa anda** (identiti, melalui log masuk/kelayakan/MFA) manakala **authorization menentukan apa yang anda dibenarkan lakukan** (kebenaran, menyemak capaian kepada sumber dan tindakan) — adalah asas kepada cara aplikasi mengawal capaian, dan memahaminya dengan jelas adalah perlu untuk membina sistem yang selamat.

Memahami **hubungan dan urutan** (authentication dahulu untuk menubuhkan identiti, kemudian authorization untuk menyemak kebenaran bagi setiap tindakan, dengan keduanya diperlukan — pengguna yang disahkan masih boleh tidak dibenarkan bagi tindakan tertentu) menjelaskan cara keduanya bekerjasama dalam kawalan capaian.

Yang kritikal, memahami **kesilapan biasa** adalah penting: mengelirukan kedua-dua konsep, dan terutamanya **broken access control** (kecacatan kebenaran — risiko #1 OWASP) di mana kebenaran tidak disemak dengan betul, membenarkan pengguna mengakses atau mengubah suai apa yang mereka tidak patut (seperti kerentanan IDOR di mana menukar ID dalam URL untuk mengakses data pengguna lain).

Panduan untuk **sentiasa menguatkuasakan authorization pada pelayan bagi setiap tindakan yang dilindungi** ialah amalan keselamatan yang penting — kerentanan sebenar yang biasa ialah gagal menyemak kebenaran dengan betul, atau bergantung pada klien untuk menguatkuasakannya.

Memandangkan kawalan capaian (authentication + authorization) adalah asas kepada keselamatan aplikasi dan mengelirukan atau salah mengendalikan konsep ini membawa kepada kerentanan serius (terutamanya broken access control, risiko teratas), dan memandangkan memahami perbezaan, urutannya, dan kesilapan kebenaran yang biasa adalah penting untuk membina sistem yang selamat, memahami authentication berbanding authorization ialah pengetahuan keselamatan asas yang penting — konsep teras untuk kawalan capaian yang setiap pembangun mesti fahami dengan jelas, penting untuk membina aplikasi selamat dan untuk mengelakkan kerentanan broken-access-control yang antara kecacatan keselamatan yang paling biasa dan serius.