Qual é a diferença entre autenticação e autorização?

Question

Accepted Answer

**Autenticação** verifica **quem você é** (identidade), enquanto **autorização** determina **o que você está autorizado a fazer** (permissões). São conceitos distintos mas relacionados — autenticação vem primeiro (comprove identidade), depois autorização (verifique permissões). Confundi-los é um erro comum.

## Autenticação — quem é você?

```text
AUTHENTICATION (AuthN) verifies IDENTITY — confirming you are who you claim to be:
  → login with credentials (password), tokens, biometrics, multi-factor (MFA)
  → "Prove you are Ann" → the system confirms your identity
→ answers: WHO are you?
```

## Autorização — o que você pode fazer?

```text
AUTHORIZATION (AuthZ) determines PERMISSIONS — what an authenticated user is allowed to do:
  → can this user access this resource? perform this action? (roles, permissions)
  → "Ann is authenticated, but is she allowed to delete this record?"
→ answers: what are you ALLOWED to do?
```

## A relação e a ordem

```text
1. AUTHENTICATION first → establish WHO you are (log in)
2. AUTHORIZATION next → check what you're ALLOWED to do (per request/action)
→ You must be authenticated before authorization is meaningful (know who, then what they can do).
→ Both are needed: authenticated but unauthorized (logged in, but can't do X) is common.
```

## Erros comuns

```text
⚠️ Confusing the two (they're different concerns)
⚠️ BROKEN ACCESS CONTROL (authorization flaws) → a TOP vulnerability (OWASP #1):
   → not checking authorization properly → users access/modify what they shouldn't
   → e.g. changing an ID in a URL to access another user's data (IDOR)
→ Always enforce authorization on the SERVER for every protected action.
```

## Por que isso importa

Compreender a diferença entre autenticação e autorização é fundamental porque são **conceitos centrais de segurança fundamentais para controle de acesso**, e confundi-los é um erro comum e consequente, então é conhecimento essencial de segurança.

A distinção — **autenticação verifica quem você é** (identidade, via login/credenciais/MFA) enquanto **autorização determina o que você está autorizado a fazer** (permissões, verificando acesso a recursos e ações) — é fundamental para como as aplicações controlam acesso, e compreendê-la claramente é necessário para construir sistemas seguros.

Compreender a **relação e ordem** (autenticação primeiro para estabelecer identidade, depois autorização para verificar permissões por ação, com ambas necessárias — um usuário autenticado ainda pode estar não autorizado para ações específicas) esclarece como funcionam juntas no controle de acesso.

Criticamente, compreender os **erros comuns** é importante: confundir os dois conceitos, e especialmente **controle de acesso quebrado** (falhas de autorização — risco #1 da OWASP) onde a autorização não é adequadamente verificada, permitindo que usuários acessem ou modifiquem o que não deveriam (como a vulnerabilidade IDOR de alterar um ID em uma URL para acessar dados de outro usuário).

A orientação de **sempre reforçar autorização no servidor para cada ação protegida** é prática essencial de segurança — uma vulnerabilidade real comum é falhar em verificar adequadamente a autorização, ou contar com o cliente para reforçá-la.

Como controle de acesso (autenticação + autorização) é fundamental para a segurança de aplicações e confundir ou manejar mal esses conceitos leva a vulnerabilidades sérias (especialmente controle de acesso quebrado, o risco principal), e como compreender a distinção, sua ordem, e os erros comuns de autorização é essencial para construir sistemas seguros, compreender autenticação versus autorização é conhecimento essencial e fundamental de segurança — conceitos centrais para controle de acesso que todo desenvolvedor deve compreender claramente, central para construir aplicações seguras e para evitar as vulnerabilidades de controle de acesso quebrado que estão entre as falhas de segurança mais comuns e sérias.