Sự khác biệt giữa authentication và authorization là gì?

Question

Accepted Answer

**Authentication** xác minh **bạn là ai** (danh tính), trong khi **authorization** xác định **bạn được phép làm gì** (quyền hạn). Chúng khác biệt nhưng liên quan với nhau — authentication đến trước (chứng minh danh tính), rồi đến authorization (kiểm tra quyền hạn). Nhầm lẫn giữa chúng là một sai lầm phổ biến.

## Authentication — bạn là ai?

```text
AUTHENTICATION (AuthN) xác minh DANH TÍNH — xác nhận bạn đúng là người bạn tuyên bố:
  → đăng nhập bằng credentials (password), tokens, sinh trắc học, multi-factor (MFA)
  → "Chứng minh bạn là Ann" → hệ thống xác nhận danh tính của bạn
→ trả lời: bạn LÀ AI?
```

## Authorization — bạn được làm gì?

```text
AUTHORIZATION (AuthZ) xác định QUYỀN HẠN — một người dùng đã xác thực được phép làm gì:
  → người dùng này có thể truy cập tài nguyên này? thực hiện hành động này? (roles, permissions)
  → "Ann đã được xác thực, nhưng cô ấy có được phép xóa bản ghi này không?"
→ trả lời: bạn được PHÉP làm gì?
```

## Mối quan hệ và thứ tự

```text
1. AUTHENTICATION trước → xác lập bạn LÀ AI (đăng nhập)
2. AUTHORIZATION sau → kiểm tra bạn được PHÉP làm gì (theo từng request/hành động)
→ Bạn phải được xác thực trước khi authorization có ý nghĩa (biết là ai, rồi mới biết được làm gì).
→ Cần cả hai: đã xác thực nhưng không được phép (đã đăng nhập, nhưng không thể làm X) là phổ biến.
```

## Các sai lầm phổ biến

```text
⚠️ Nhầm lẫn hai khái niệm (chúng là những mối quan tâm khác nhau)
⚠️ BROKEN ACCESS CONTROL (lỗi authorization) → một lỗ hổng HÀNG ĐẦU (OWASP #1):
   → không kiểm tra authorization đúng cách → người dùng truy cập/sửa đổi thứ họ không được phép
   → ví dụ thay đổi một ID trong URL để truy cập dữ liệu của người dùng khác (IDOR)
→ Luôn thực thi authorization trên SERVER cho mọi hành động được bảo vệ.
```

## Tại sao điều này quan trọng

Hiểu sự khác biệt giữa authentication và authorization là cơ bản vì chúng là **các khái niệm bảo mật cốt lõi, trung tâm của access control**, và nhầm lẫn giữa chúng là một sai lầm phổ biến, gây hậu quả, nên đó là kiến thức bảo mật thiết yếu.

Sự phân biệt — **authentication xác minh bạn là ai** (danh tính, qua đăng nhập/credentials/MFA) trong khi **authorization xác định bạn được phép làm gì** (quyền hạn, kiểm tra quyền truy cập tài nguyên và hành động) — là cơ bản đối với cách ứng dụng kiểm soát truy cập, và hiểu rõ nó là cần thiết để xây dựng hệ thống an toàn.

Hiểu **mối quan hệ và thứ tự** (authentication trước để xác lập danh tính, rồi authorization để kiểm tra quyền hạn theo từng hành động, với cả hai đều cần thiết — một người dùng đã xác thực vẫn có thể không được phép cho các hành động cụ thể) làm rõ cách chúng phối hợp trong access control.

Quan trọng là, hiểu các **sai lầm phổ biến**: nhầm lẫn hai khái niệm, và đặc biệt là **broken access control** (lỗi authorization — rủi ro #1 của OWASP) khi authorization không được kiểm tra đúng cách, cho phép người dùng truy cập hoặc sửa đổi thứ họ không được phép (như lỗ hổng IDOR thay đổi một ID trong URL để truy cập dữ liệu của người dùng khác).

Hướng dẫn **luôn thực thi authorization trên server cho mọi hành động được bảo vệ** là thực hành bảo mật thiết yếu — một lỗ hổng thực tế phổ biến là không kiểm tra authorization đúng cách, hoặc dựa vào client để thực thi nó.

Vì access control (authentication + authorization) là cơ bản đối với bảo mật ứng dụng và nhầm lẫn hoặc xử lý sai các khái niệm này dẫn đến các lỗ hổng nghiêm trọng (đặc biệt là broken access control, rủi ro hàng đầu), và vì hiểu sự phân biệt, thứ tự của chúng và các sai lầm authorization phổ biến là thiết yếu để xây dựng hệ thống an toàn, nên hiểu authentication và authorization là kiến thức bảo mật nền tảng, thiết yếu — các khái niệm cốt lõi cho access control mà mọi lập trình viên phải hiểu rõ, trung tâm của việc xây dựng ứng dụng an toàn và tránh các lỗ hổng broken-access-control vốn nằm trong số những lỗi bảo mật phổ biến và nghiêm trọng nhất.