Care este diferența dintre autentificare și autorizare?

Question

Accepted Answer

**Autentificarea** verifică **cine ești tu** (identitate), în timp ce **autorizarea** determină **ce ai voie să faci** (permisiuni). Sunt distincte dar legate — autentificarea vine mai întâi (dovedește identitatea), apoi autorizarea (verifică permisiunile). Confundarea lor este o greșeală obișnuită.

## Autentificare — cine ești tu?

```text
AUTHENTICATION (AuthN) verifies IDENTITY — confirming you are who you claim to be:
  → login with credentials (password), tokens, biometrics, multi-factor (MFA)
  → "Prove you are Ann" → the system confirms your identity
→ answers: WHO are you?
```

## Autorizare — ce poți face?

```text
AUTHORIZATION (AuthZ) determines PERMISSIONS — what an authenticated user is allowed to do:
  → can this user access this resource? perform this action? (roles, permissions)
  → "Ann is authenticated, but is she allowed to delete this record?"
→ answers: what are you ALLOWED to do?
```

## Relația și ordinea

```text
1. AUTHENTICATION first → establish WHO you are (log in)
2. AUTHORIZATION next → check what you're ALLOWED to do (per request/action)
→ You must be authenticated before authorization is meaningful (know who, then what they can do).
→ Both are needed: authenticated but unauthorized (logged in, but can't do X) is common.
```

## Greșeli obișnuite

```text
⚠️ Confusing the two (they're different concerns)
⚠️ BROKEN ACCESS CONTROL (authorization flaws) → a TOP vulnerability (OWASP #1):
   → not checking authorization properly → users access/modify what they shouldn't
   → e.g. changing an ID in a URL to access another user's data (IDOR)
→ Always enforce authorization on the SERVER for every protected action.
```

## De ce contează

Înțelegerea diferenței dintre autentificare și autorizare este fundamentală deoarece sunt **concepte de securitate esențiale centrale pentru controlul accesului**, și confundarea lor este o greșeală obișnuită și consequentă, deci este cunoaștere de securitate esențială.

Distincția — **autentificarea verifică cine ești tu** (identitate, prin login/credențiale/MFA) în timp ce **autorizarea determină ce ai voie să faci** (permisiuni, verificând accesul la resurse și acțiuni) — este fundamentală pentru modul în care aplicațiile controlează accesul, și înțelegerea ei clară este necesară pentru construirea sistemelor securizate.

Înțelegerea **relației și ordinii** (autentificare mai întâi pentru a stabili identitatea, apoi autorizare pentru a verifica permisiunile per acțiune, cu ambele necesare — un utilizator autentificat poate fi totuși neautorizat pentru acțiuni specifice) clarifică modul în care funcționează împreună în controlul accesului.

Critical, înțelegerea **greșelilor obișnuite** este importantă: confundarea celor două concepte, și în special **controlul accesului defect** (defecte de autorizare — riscul #1 din OWASP) unde autorizarea nu este verificată în mod corespunzător, permițând utilizatorilor să acceseze sau să modifice ceea ce nu ar trebui (cum ar fi vulnerabilitatea IDOR de schimbare a unui ID într-un URL pentru a accesa datele altui utilizator).

Ghidul de **întotdeauna aplici autorizare pe server pentru fiecare acțiune protejată** este practică de securitate esențială — o vulnerabilitate reală obișnuită este neapplicarea verificării autorizării în mod corespunzător, sau bazarea pe client pentru a o aplica.

Deoarce controlul accesului (autentificare + autorizare) este fundamental pentru securitatea aplicației și confundarea sau manipularea incorectă a acestor concepte duce la vulnerabilități grave (în special controlul accesului defect, riscul principal), și deoarece înțelegerea distincției, ordinii lor, și greșelilor obișnuite de autorizare este esențială pentru construirea sistemelor securizate, înțelegerea autentificării versus autorizării este cunoaștere de securitate esențială, fundamentală — concepte esențiale pentru controlul accesului pe care fiecare dezvoltator trebuie să le înțeleagă clar, centrale pentru construirea aplicațiilor securizate și pentru evitarea vulnerabilităților de control al accesului defect care sunt printre cele mai obișnuite și grave defecte de securitate.