Hva er forskjellen mellom autentisering og autorisering?

Question

Accepted Answer

**Autentisering** bekrefter **hvem du er** (identitet), mens **autorisering** bestemmer **hva du har lov til å gjøre** (tillatelser). De er distinkte men relaterte — autentisering kommer først (bevis identitet), deretter autorisering (sjekk tillatelser). Å forveksle dem er en vanlig feil.

## Autentisering — hvem er du?

```text
AUTHENTICATION (AuthN) verifies IDENTITY — confirming you are who you claim to be:
  → login with credentials (password), tokens, biometrics, multi-factor (MFA)
  → "Prove you are Ann" → the system confirms your identity
→ answers: WHO are you?
```

## Autorisering — hva kan du gjøre?

```text
AUTHORIZATION (AuthZ) determines PERMISSIONS — what an authenticated user is allowed to do:
  → can this user access this resource? perform this action? (roles, permissions)
  → "Ann is authenticated, but is she allowed to delete this record?"
→ answers: what are you ALLOWED to do?
```

## Forholdet og rekkefølgen

```text
1. AUTHENTICATION first → establish WHO you are (log in)
2. AUTHORIZATION next → check what you're ALLOWED to do (per request/action)
→ You must be authenticated before authorization is meaningful (know who, then what they can do).
→ Both are needed: authenticated but unauthorized (logged in, but can't do X) is common.
```

## Vanlige feil

```text
⚠️ Confusing the two (they're different concerns)
⚠️ BROKEN ACCESS CONTROL (authorization flaws) → a TOP vulnerability (OWASP #1):
   → not checking authorization properly → users access/modify what they shouldn't
   → e.g. changing an ID in a URL to access another user's data (IDOR)
→ Always enforce authorization on the SERVER for every protected action.
```

## Hvorfor det betyr noe

Å forstå forskjellen mellom autentisering og autorisering er fundamental fordi de er **kjernekonsepter innen sikkerhet som er sentrale for tilgangskontroll**, og å forveksle dem er en vanlig og alvorlig feil, så det er essensielt sikkerhetskunnskap.

Skillet — **autentisering bekrefter hvem du er** (identitet, via pålogging/legitimasjon/MFA) mens **autorisering bestemmer hva du har lov til å gjøre** (tillatelser, sjekk tilgang til ressurser og handlinger) — er fundamental for hvordan applikasjoner kontrollerer tilgang, og å forstå det klart er nødvendig for å bygge sikre systemer.

Å forstå **forholdet og rekkefølgen** (autentisering først for å etablere identitet, deretter autorisering for å sjekke tillatelser per handling, med begge nødvendige — en autentisert bruker kan fortsatt være uautorisert for spesifikke handlinger) gjør det klart hvordan de fungerer sammen i tilgangskontroll.

Kritisk sett er det viktig å forstå **vanlige feil**: å forveksle de to konseptene, og spesielt **brutt tilgangskontroll** (autoriserfeil — OWASPs #1-risiko) hvor autorisering ikke sjekkes ordentlig, slik at brukere får tilgang til eller kan endre ting de ikke skulle (som IDOR-sårbarheten med å endre en ID i en URL for å få tilgang til en annen brukers data).

Veiledningen om å **alltid håndheve autorisering på serveren for hver beskyttet handling** er essensielt sikkerhetspraksis — en vanlig reell sårbarhet er å ikke sjekke autorisering ordentlig, eller å stole på klienten for å håndheve den.

Da tilgangskontroll (autentisering + autorisering) er fundamental for applikasjonssikkerhet og å forveksle eller håndtere disse konseptene dårlig fører til alvorlige sårbarheter (spesielt brutt tilgangskontroll, topprisikoen), og da å forstå skillet, deres rekkefølge, og de vanlige autoriseringsfeilen er essensielt for å bygge sikre systemer, er forståelsen av autentisering vs autorisering essensielt, grunnleggende sikkerhetskunnskap — kjernekonsepter for tilgangskontroll som hver utvikler må forstå klart, sentral for å bygge sikre applikasjoner og for å unngå sårbarhetene for brutt tilgangskontroll som er blant de vanligste og mest alvorlige sikkerhetsfeilene.