Jaka jest różnica między uwierzytelnianiem a autoryzacją?

Question

Accepted Answer

**Uwierzytelnianie** weryfikuje **kim jesteś** (tożsamość), podczas gdy **autoryzacja** określa **co możesz robić** (uprawnienia). Są to pojęcia odrębne, ale powiązane — uwierzytelnianie następuje pierwsze (udowodnij tożsamość), następnie autoryzacja (sprawdź uprawnienia). Mylenie ich to częsty błąd.

## Uwierzytelnianie — kim jesteś?

```text
AUTHENTICATION (AuthN) verifies IDENTITY — confirming you are who you claim to be:
  → login with credentials (password), tokens, biometrics, multi-factor (MFA)
  → "Prove you are Ann" → the system confirms your identity
→ answers: WHO are you?
```

## Autoryzacja — co możesz robić?

```text
AUTHORIZATION (AuthZ) determines PERMISSIONS — what an authenticated user is allowed to do:
  → can this user access this resource? perform this action? (roles, permissions)
  → "Ann is authenticated, but is she allowed to delete this record?"
→ answers: what are you ALLOWED to do?
```

## Relacja i kolejność

```text
1. AUTHENTICATION first → establish WHO you are (log in)
2. AUTHORIZATION next → check what you're ALLOWED to do (per request/action)
→ You must be authenticated before authorization is meaningful (know who, then what they can do).
→ Both are needed: authenticated but unauthorized (logged in, but can't do X) is common.
```

## Częste błędy

```text
⚠️ Confusing the two (they're different concerns)
⚠️ BROKEN ACCESS CONTROL (authorization flaws) → a TOP vulnerability (OWASP #1):
   → not checking authorization properly → users access/modify what they shouldn't
   → e.g. changing an ID in a URL to access another user's data (IDOR)
→ Always enforce authorization on the SERVER for every protected action.
```

## Dlaczego to ważne

Zrozumienie różnicy między uwierzytelnianiem a autoryzacją jest fundamentalne, ponieważ są to **kluczowe koncepcje bezpieczeństwa będące sednem kontroli dostępu**, a mylenie ich to częsty i poważny błąd, dlatego jest to niezbędna wiedza z zakresu bezpieczeństwa.

Różnica — **uwierzytelnianie weryfikuje kim jesteś** (tożsamość, poprzez login/poświadczenia/MFA) a **autoryzacja określa co możesz robić** (uprawnienia, sprawdzanie dostępu do zasobów i akcji) — jest fundamentalna dla sposobu, w jaki aplikacje kontrolują dostęp, i jasne zrozumienie jej jest konieczne do budowania bezpiecznych systemów.

Zrozumienie **relacji i kolejności** (uwierzytelnianie najpierw w celu ustalenia tożsamości, następnie autoryzacja w celu sprawdzenia uprawnień dla każdej akcji, obie są potrzebne — uwierzytelniony użytkownik wciąż może być nieupoważniony do wykonania konkretnych akcji) wyjaśnia jak współpracują ze sobą w kontroli dostępu.

Crucjalnie, zrozumienie **częstych błędów** jest ważne: mylenie tych dwóch koncepcji, a szczególnie **zaburzona kontrola dostępu** (defekty autoryzacji — #1 zagrożenie OWASP) gdzie autoryzacja nie jest prawidłowo sprawdzana, pozwalając użytkownikom na dostęp lub modyfikację tego, czego nie powinni (jak luka IDOR polegająca na zmianie identyfikatora w URL w celu uzyskania dostępu do danych innego użytkownika).

Wytyczna do **zawsze egzekwowania autoryzacji na serwerze dla każdej chronionej akcji** jest niezbędną praktyką bezpieczeństwa — częsta rzeczywista luka to brak prawidłowego sprawdzenia autoryzacji lub poleganie na kliencie aby ją egzekwować.

Ponieważ kontrola dostępu (uwierzytelnianie + autoryzacja) jest fundamentem bezpieczeństwa aplikacji i mylenie lub niewłaściwe obsługiwanie tych koncepcji prowadzi do poważnych luk (szczególnie zaburzona kontrola dostępu, czołowe zagrożenie), a zrozumienie różnicy, ich kolejności i częstych błędów autoryzacji jest niezbędne do budowania bezpiecznych systemów, zrozumienie uwierzytelniania vs autoryzacji jest niezbędną, fundamentalną wiedzą z zakresu bezpieczeństwa — koncepcjami podstawowymi dla kontroli dostępu, które każdy programista musi jasno rozumieć, centralne dla budowania bezpiecznych aplikacji i unikania luk zaburzonej kontroli dostępu, które należą do najczęstszych i najpoważniejszych błędów bezpieczeństwa.