前言

你經常在網路上搜尋到很多文章標題寫：What is the difference between Authentication and Authorization。

Authentication 意思為驗證；Authorization 意思為授權。這篇文章會大致說明這兩件事情的差異

說明

• Authentication (驗證)：

  • Verify Identity (未登入的匿名小白 → 輸入帳密 → 確認你是小明 的過程)
  1. 認證你的身分 — 例如你是一名警察，發生命案時你趕到現場，大家都不知道你是誰，直到你拿出你的員警證說明你是警員，大家才知曉你的身分。
  2. 核對你的證件就是你本人 — 說不定你是小華拿著小明的證件，冒充別人的身分。為了避免身分冒用，除了證件 (帳號) 你還得說出密碼核對你的身分。兩樣都核對無誤後才確認你是小明本人。
  • 驗證通過，系統會回傳 Response 200 OK
  • 驗證失敗，系統會回傳 Unauthorized 401 (有點不直覺)

• Authorization (授權)：

  • Verify Permission (已知你是小明 → 你想上傳影片 → 確認這個帳號有權限上傳 → 上傳成功)

  • 確認一個人是否有權力作出一個行為，就是授權。

  • 授權是「驗證通過」了以後才能做的行為，因為必須先有了一個「身分」，才能去辨別這個「身分」是否有被「允許」做出行動。

  • 例如：你要先登入過無名小站 (驗證)，系統才能辨別你的帳號有沒有權力刪除某篇貼文，或是按讚貼文、新增貼文等。

  • 訪客 (無驗證) 是絕對都沒有權力的 (無授權)。

  • 驗證通過，系統會回傳 Response 200 OK

  • 驗證失敗，系統會回傳 Forbidden 403

If you can't prove your identity, you won't be allowed into a resource. (401)

And even if you can prove your identity, if you are not authorized for that resource, you will still be denied access. (403)

實際行為

1. 使用者使用 User Credentials (帳號密碼) 登入 ⇒ 驗證
2. 伺服器發送 Token 給 客戶端，客戶端把 token 收好好
3. 客戶端之後想跟伺服器互動，都得帶著 Token 識別你的身分 ⇒ 授權

來源

• Auth0 — Authentication vs. Authorization