Kakšna je razlika med avtentikacijo in avtorizacijo?

Question

Accepted Answer

**Avtentikacija** preverja **kdo si** (identiteta), medtem ko **avtorizacija** določa **kaj lahko počneš** (dovoljenja). Sta različni, vendar povezani — avtentikacija pride prva (dokaži identiteto), nato avtorizacija (preveri dovoljenja). Njihovo zmešnjavanje je pogosta napaka.

## Avtentikacija — kdo si?

```text
AUTHENTICATION (AuthN) verifies IDENTITY — confirming you are who you claim to be:
  → login with credentials (password), tokens, biometrics, multi-factor (MFA)
  → "Prove you are Ann" → the system confirms your identity
→ answers: WHO are you?
```

## Avtorizacija — kaj lahko počneš?

```text
AUTHORIZATION (AuthZ) determines PERMISSIONS — what an authenticated user is allowed to do:
  → can this user access this resource? perform this action? (roles, permissions)
  → "Ann is authenticated, but is she allowed to delete this record?"
→ answers: what are you ALLOWED to do?
```

## Razmerje in vrstni red

```text
1. AUTHENTICATION first → establish WHO you are (log in)
2. AUTHORIZATION next → check what you're ALLOWED to do (per request/action)
→ You must be authenticated before authorization is meaningful (know who, then what they can do).
→ Both are needed: authenticated but unauthorized (logged in, but can't do X) is common.
```

## Pogoste napake

```text
⚠️ Confusing the two (they're different concerns)
⚠️ BROKEN ACCESS CONTROL (authorization flaws) → a TOP vulnerability (OWASP #1):
   → not checking authorization properly → users access/modify what they shouldn't
   → e.g. changing an ID in a URL to access another user's data (IDOR)
→ Always enforce authorization on the SERVER for every protected action.
```

## Zakaj je to pomembno

Razumevanje razlike med avtentikacijo in avtorizacijo je temeljno, ker sta **ključni varnostni koncepti osrednjega pomena za nadzor dostopa**, in njihovo zmešnjavanje je pogosta in resna napaka, zato je to bistveno varnostno znanje.

Razlika — **avtentikacija preverja kdo si** (identiteta, prek prijave/poverilnic/MFA) medtem ko **avtorizacija določa kaj lahko počneš** (dovoljenja, preverjanje dostopa do virov in dejanj) — je temeljnega pomena za način, kako aplikacije nadzirajo dostop, in jasno razumevanje je potrebno za gradnjo varnih sistemov.

Razumevanje **razmerja in vrstnega reda** (avtentikacija prva za vzpostavitev identitete, nato avtorizacija za preverjanje dovoljenj na dejanje, obe sta potrebni — avtentikirani uporabnik je lahko še vedno nepooblaščen za posebna dejanja) pojasni, kako delujeta skupaj pri nadzoru dostopa.

Kritično je razumevanje **pogostih napak** pomembno: zmešnjavanje obeh konceptov, in posebej **izbito kontrolo dostopa** (napake avtorizacije — OWASP-ov #1 tveganja) kjer avtorizacija ni pravilno preverjena, kar uporabnikom omogoči dostop ali spreminjanje stvari, ki jih ne bi smeli (kot je IDOR ranljivost spreminjanja ID-ja v URL-ju za dostop do podatkov drugega uporabnika).

Navodilo za **vedno uveljavljanje avtorizacije na strežniku za vsako zaščiteno dejanje** je bistvena varnostna praksa — pogosta resna ranljivost je neustrjna preverka avtorizacije ali zanašanje na odjemalca, da jo uveljavlja.

Ker je nadzor dostopa (avtentikacija + avtorizacija) temeljna za varnost aplikacije in zmešnjavanje ali nepravilno ravnanje s tema konceptoma vodi do resnih ranljivosti (posebej izbita kontrola dostopa, glavno tveganje), in ker je razumevanje razlike, njunega vrstnega reda in pogostih avtorizacijskih napak bistveno za gradnjo varnih sistemov, je razumevanje avtentikacije v primerjavi z avtorizacijo bistveno, temeljno varnostno znanje — ključni koncepti za nadzor dostopa, ki jih mora razumeti vsak razvijalec, osrednjega pomena za gradnjo varnih aplikacij in za izogib ranljivostim izbite kontrole dostopa, ki so med najpogostejšimi in najbolj resnimi varnostnimi napakami.