Kimlik doğrulama (authentication) ile yetkilendirme (authorization) arasındaki fark nedir?

Question

Accepted Answer

**Kimlik doğrulama** **kim olduğunuzu** doğrular (kimlik), **yetkilendirme** ise **ne yapmanıza izin verildiğini** belirler (izinler). Bunlar farklı ama ilişkili kavramlardır — kimlik doğrulama önce gelir (kimliği kanıtla), sonra yetkilendirme (izinleri kontrol et). Bunları karıştırmak yaygın bir hatadır.

## Kimlik doğrulama — siz kimsiniz?

```text
AUTHENTICATION (AuthN) verifies IDENTITY — confirming you are who you claim to be:
  → login with credentials (password), tokens, biometrics, multi-factor (MFA)
  → "Prove you are Ann" → the system confirms your identity
→ answers: WHO are you?
```

## Yetkilendirme — ne yapabilirsiniz?

```text
AUTHORIZATION (AuthZ) determines PERMISSIONS — what an authenticated user is allowed to do:
  → can this user access this resource? perform this action? (roles, permissions)
  → "Ann is authenticated, but is she allowed to delete this record?"
→ answers: what are you ALLOWED to do?
```

## İlişki ve sıralama

```text
1. AUTHENTICATION first → establish WHO you are (log in)
2. AUTHORIZATION next → check what you're ALLOWED to do (per request/action)
→ You must be authenticated before authorization is meaningful (know who, then what they can do).
→ Both are needed: authenticated but unauthorized (logged in, but can't do X) is common.
```

## Yaygın hatalar

```text
⚠️ Confusing the two (they're different concerns)
⚠️ BROKEN ACCESS CONTROL (authorization flaws) → a TOP vulnerability (OWASP #1):
   → not checking authorization properly → users access/modify what they shouldn't
   → e.g. changing an ID in a URL to access another user's data (IDOR)
→ Always enforce authorization on the SERVER for every protected action.
```

## Neden önemli

Kimlik doğrulama ile yetkilendirme arasındaki farkı anlamak temeldir çünkü bunlar **erişim kontrolünün merkezinde yer alan temel güvenlik kavramlarıdır** ve bunları karıştırmak yaygın ve önemli bir hatadır, bu nedenle güvenlik bilgisi gereklidir.

**Kimlik doğrulama kim olduğunuzu doğrular** (kimlik, login/kimlik bilgileri/MFA yoluyla) **yetkilendirme ise ne yapmanıza izin verildiğini belirler** (izinler, kaynaklara ve eylemlere erişimi kontrol ederek) — bu ayrım, uygulamaların erişimi nasıl kontrol ettiğinin temelini oluşturur ve bunu açıkça anlamak, güvenli sistemler oluşturmak için gereklidir.

**İlişki ve sıralamayı** anlamak (kimliği belirlemek için önce kimlik doğrulama, sonra her eylem için izinleri kontrol etmek üzere yetkilendirme, her ikisinin de gerekli olması — kimlik doğrulanmış bir kullanıcı yine de belirli eylemler için yetkisiz olabilir) bunların erişim kontrolünde nasıl birlikte çalıştığını açıklar.

Önemli olarak, **yaygın hataları** anlamak önemlidir: iki kavramı karıştırmak ve özellikle **bozulmuş erişim kontrolü** (yetkilendirme kusurları — OWASP'nin #1 riski) yetkilendirmenin düzgün şekilde kontrol edilmemesi, kullanıcıların yapmaması gereken şeylere erişmesine veya değiştirmesine izin vermek (bir URL'deki ID'yi değiştirerek başka bir kullanıcının verilerine erişme olayında IDOR güvenlik açığı gibi).

**Her korunan eylem için yetkilendirmeyi sunucu tarafında her zaman uygulamak** yönergesi temel güvenlik uygulamasıdır — yaygın bir gerçek güvenlik açığı yetkilendirmeyi düzgün şekilde kontrol etmemek veya istemci tarafından uygulatmaya güvenmektir.

Erişim kontrolü (kimlik doğrulama + yetkilendirme) uygulama güvenliğinin temel olduğu ve bu kavramları karıştırmak veya yanlış işlemek ciddi güvenlik açıklarına yol açtığı (özellikle en yaygın risklerden biri olan bozulmuş erişim kontrolü) için, ayrımı, sıralarını ve yaygın yetkilendirme hatalarını anlamak güvenli sistemler oluşturmak için gerekli olduğu için, kimlik doğrulama ve yetkilendirmeyi anlamak temel, nihai düzey güvenlik bilgisidir — erişim kontrolü için temel kavramlar ve her geliştiricinin açıkça anlaması gereken, güvenli uygulamalar oluşturmak ve en yaygın ve ciddi güvenlik kusurları arasında yer alan bozulmuş erişim kontrolü güvenlik açıklarından kaçınmak için merkez öneme sahip kavramlardır.