Wat is het verschil tussen authenticatie en autorisatie?

Question

Accepted Answer

**Authenticatie** verifieert **wie je bent** (identiteit), terwijl **autorisatie** bepaalt **wat je mag doen** (machtigingen). Ze zijn verschillend maar gerelateerd — authenticatie komt eerst (bewijs identiteit), daarna autorisatie (controleer machtigingen). Het verwarren van beide is een veelgemaakte fout.

## Authenticatie — wie ben je?

```text
AUTHENTICATION (AuthN) verifies IDENTITY — confirming you are who you claim to be:
  → login with credentials (password), tokens, biometrics, multi-factor (MFA)
  → "Prove you are Ann" → the system confirms your identity
→ answers: WHO are you?
```

## Autorisatie — wat mag je doen?

```text
AUTHORIZATION (AuthZ) determines PERMISSIONS — what an authenticated user is allowed to do:
  → can this user access this resource? perform this action? (roles, permissions)
  → "Ann is authenticated, but is she allowed to delete this record?"
→ answers: what are you ALLOWED to do?
```

## De relatie en volgorde

```text
1. AUTHENTICATION first → establish WHO you are (log in)
2. AUTHORIZATION next → check what you're ALLOWED to do (per request/action)
→ You must be authenticated before authorization is meaningful (know who, then what they can do).
→ Both are needed: authenticated but unauthorized (logged in, but can't do X) is common.
```

## Veelgemaakte fouten

```text
⚠️ Confusing the two (they're different concerns)
⚠️ BROKEN ACCESS CONTROL (authorization flaws) → a TOP vulnerability (OWASP #1):
   → not checking authorization properly → users access/modify what they shouldn't
   → e.g. changing an ID in a URL to access another user's data (IDOR)
→ Always enforce authorization on the SERVER for every protected action.
```

## Waarom het belangrijk is

Het begrijpen van het verschil tussen authenticatie en autorisatie is fundamenteel omdat ze **kernbeveiligingsconcepten zijn die centraal staan voor toegangscontrole**, en het verwarren ervan is een veelgemaakte, gevolgenrijke fout, dus het is essentiële beveiligingskennis.

Het onderscheid — **authenticatie verifieert wie je bent** (identiteit, via login/inloggegevens/MFA) terwijl **autorisatie bepaalt wat je mag doen** (machtigingen, controle van toegang tot bronnen en acties) — is fundamenteel voor hoe applicaties toegang controleren, en het duidelijk begrijpen ervan is noodzakelijk voor het bouwen van veilige systemen.

Het begrijpen van de **relatie en volgorde** (authenticatie eerst om identiteit vast te stellen, vervolgens autorisatie om machtigingen per actie te controleren, waarbij beide nodig zijn — een geverifieerde gebruiker kan nog steeds ongeautoriseerd zijn voor specifieke acties) verduidelijkt hoe zij samenwerken in toegangscontrole.

Crucaal is het begrijpen van de **veelgemaakte fouten** belangrijk: het verwarren van de twee concepten, en vooral **broken access control** (autorisatiefouten — OWASP's #1 risico) waarbij autorisatie niet correct wordt gecontroleerd, waardoor gebruikers toegang krijgen tot of kunnen wijzigen wat ze niet mogen (zoals de IDOR-kwetsbaarheid van het wijzigen van een ID in een URL om toegang te krijgen tot gegevens van een ander gebruiker).

De richtlijn om **altijd autorisatie op de server af te dwingen voor elke beveiligde actie** is essentiële beveiligingspraktijk — een veelgemaakte echte kwetsbaarheid is het niet correct controleren van autorisatie, of het vertrouwen op de client om deze af te dwingen.

Omdat toegangscontrole (authenticatie + autorisatie) fundamenteel is voor applicatiebeveiliging en het verwarren of verkeerd omgaan met deze concepten leidt tot ernstige kwetsbaarheden (vooral broken access control, het toprisico), en omdat het begrijpen van het onderscheid, hun volgorde en de veelgemaakte autorisatiefouten essentieel is voor het bouwen van veilige systemen, is het begrijpen van authenticatie versus autorisatie essentiële, fundamentele beveiligingskennis — kernconcepten voor toegangscontrole die elke ontwikkelaar duidelijk moet begrijpen, centraal voor het bouwen van veilige applicaties en voor het vermijden van broken-access-control-kwetsbaarheden die onder de meest voorkomende en ernstige beveiligingsfouten vallen.