Authentication vs Authorization 차이

Authentication / Authorization 차이점

---

보통 우리가 '권한' 이라고 불리우는 것엔 인증(Authentication)과 인가/승인(Authorization) 두가지 단어가 존재하는데, 인증(Authentication) 과 인가/승인(Authorization)은 비슷해 보이지만 엄연한 차이가 존재한다.

• 인증(Authentication) : 본인이 누구인지 확인 (로그인)
• 인가/승인(Authorization) : 특정 리소스에 권한이 있는지 확인 (등급 권한)

 

	인증 (Authentication)	인가 (Authorization)
기능	자격 증명 확인	권한 허가/거부
진행 방식	비밀번호, 생체인식, 일회용 핀 또는 앱	보안 팀에서 관리하는 설정 사용
사용자가 볼 수 있는가?	예	아니오
사용자가 직접 변경할 수 있는가?	부분적으로 가능	불가능
데이터 전송	ID 토큰 사용	액세스 토큰 사용

---

 

인증 Authentication

네이버 카페나 포털 사이트를 예 로들자면, 게시물을 읽으려고 포스팅 목록을 눌렀을때 '로그인이 필요합니다' 경고창과 함께 로그인 인증이 요구된다면 인증(Autentication) 되지 않은 상황이다.

 

서버 입장에서는 현재 요청자가 카페 회원인지 누군지 몰라서 일어나는 상황이다.

---

인가/승인 Authorization

그래서 회원 가입 하고 로그인을 하고 게시물에 들어갈수 있게 되었는데, 이번엔 어느 특정 게시판에 있는 게시글을 읽으려고 하니 '스탭 등급 부터 읽을 수 있습니다' 라는 경고창이 뜬다면 승인(Authorization) 되지 않은 상황이다.

 

즉, 인증 되었다고 하더라도, 승인되지 않았다면 특정 리소스에 접근할 수 없다는 원리이다.

 

서버 입장에서는 현재 요청자가 회원가입을 했으니 누군지는 알지만, 회원 등급에 따라 사용자는 요청한 자원에 접근한 권한이 없다고 판단하여 차단 한 것이다. 

---

이처럼 같은 게시글을 읽는데에도 인증(Authentication)과 인가/승인(Authorization)에 따라 응답하는 방식이 다르다는 것을 알 수 있다.

https://idratherbewriting.com/learnapidoc/docapis_more_about_authorization.html

 

---

참고

• https://www.okta.com/kr/identity-101/authentication-vs-authorization/