Vad är skillnaden mellan autentisering och auktorisering?

Question

Accepted Answer

**Autentisering** verifierar **vem du är** (identitet), medan **auktorisering** bestämmer **vad du får göra** (behörigheter). De är distinkta men relaterade — autentisering kommer först (bevisa identitet), sedan auktorisering (kontrollera behörigheter). Att förväxla dem är ett vanligt misstag.

## Autentisering — vem är du?

```text
AUTHENTICATION (AuthN) verifies IDENTITY — confirming you are who you claim to be:
  → login with credentials (password), tokens, biometrics, multi-factor (MFA)
  → "Prove you are Ann" → the system confirms your identity
→ answers: WHO are you?
```

## Auktorisering — vad får du göra?

```text
AUTHORIZATION (AuthZ) determines PERMISSIONS — what an authenticated user is allowed to do:
  → can this user access this resource? perform this action? (roles, permissions)
  → "Ann is authenticated, but is she allowed to delete this record?"
→ answers: what are you ALLOWED to do?
```

## Förhållandet och ordningen

```text
1. AUTHENTICATION first → establish WHO you are (log in)
2. AUTHORIZATION next → check what you're ALLOWED to do (per request/action)
→ You must be authenticated before authorization is meaningful (know who, then what they can do).
→ Both are needed: authenticated but unauthorized (logged in, but can't do X) is common.
```

## Vanliga misstag

```text
⚠️ Confusing the two (they're different concerns)
⚠️ BROKEN ACCESS CONTROL (authorization flaws) → a TOP vulnerability (OWASP #1):
   → not checking authorization properly → users access/modify what they shouldn't
   → e.g. changing an ID in a URL to access another user's data (IDOR)
→ Always enforce authorization on the SERVER for every protected action.
```

## Varför det spelar roll

Att förstå skillnaden mellan autentisering och auktorisering är grundläggande eftersom de är **centrala säkerhetskoncept för åtkomstkontroll**, och att förväxla dem är ett vanligt och allvarligt misstag, så det är väsentlig säkerhetskompetens.

Skillnaden — **autentisering verifierar vem du är** (identitet, via inloggning/autentiseringsuppgifter/MFA) medan **auktorisering bestämmer vad du får göra** (behörigheter, kontroll av åtkomst till resurser och åtgärder) — är grundläggande för hur applikationer kontrollerar åtkomst, och att förstå det klart är nödvändigt för att bygga säkra system.

Att förstå **förhållandet och ordningen** (autentisering först för att fastställa identitet, sedan auktorisering för att kontrollera behörigheter per åtgärd, båda behövs — en autentiserad användare kan fortfarande vara obehörig för specifika åtgärder) klargör hur de fungerar tillsammans i åtkomstkontroll.

Kritiskt är det att förstå de **vanliga misstagen**: att förväxla de två koncepten, och särskilt **bruten åtkomstkontroll** (auktoriseringsfel — OWASPs #1-risk) där auktorisering inte är korrekt kontrollerad, vilket låter användare komma åt eller ändra det de inte borde (som IDOR-sårbarheten att ändra ett ID i en URL för att komma åt en annan användares data).

Vägledningen att **alltid tvinga auktorisering på servern för varje skyddad åtgärd** är väsentlig säkerhetspraxis — ett vanligt verkligt sårbarhet är att misslyckas med att korrekt kontrollera auktorisering, eller att förlita sig på klienten för att tillämpa det.

Eftersom åtkomstkontroll (autentisering + auktorisering) är grundläggande för applikationssäkerhet och att förväxla eller felhantera dessa koncept leder till allvarliga sårbarheter (särskilt bruten åtkomstkontroll, den översta risken), och eftersom att förstå skillnaden, deras ordning och de vanliga auktoriseringsmistagen är väsentligt för att bygga säkra system, är förståelse för autentisering kontra auktorisering väsentlig, grundläggande säkerhetskompetens — centrala koncept för åtkomstkontroll som varje utvecklare måste förstå klart, avgörande för att bygga säkra applikationer och för att undvika de bruten-åtkomstkontroll-sårbarheter som är bland de vanligaste och allvarligaste säkerhetsfelen.