はじめに
ログインや機能制限を持つシステムに関わってきたが、
今ある仕組みを理解し動きで理解していた。
一段上の概念レベルで理解する機会がなかったので情報を整理する。
認証(Authentication)
定義:ユーザが誰かを確認し、利用する権利があるか判断する
目的:ユーザの身元を確認する
利用例:
- システムへのログイン(ユーザIDとパスワード、生体認証(指紋、顔認証)
- ログイン後の検証(セッション、トークン)
認可(Authorization)
定義:認証されたユーザがどの資源や機能にアクセスできるかを決定するか判断する
目的:適切なアクセス権を付与する
利用例:
- 認証済みユーザの利用可能な資源や機能の制御
認証(Authentication)と認可(Authorization)の関係
認証が成功した後に認可を行う。
まず認証、ユーザがシステムにログイン、
その後認可、認証されたユーザがどの資源や機能にアクセス可否が決定する。
所感
認証の「証」から個人を証明すること、
認可の「可」から可否を決定することって覚えておくのが良さそう。