인증(Authentication) vs 인가(Authorization)

1. 인증 (Authentication) 이란?

: 유요한 사용자일까?

: 사용자 신원을 확인하는 행위

: 일반적으로 사용자 ID와 시르킷 번호를 사용해 사용자를 식별하는데 이를 사용자 자격 증명이라고 한다. 사용자 자격 증명을 확인하고 API에 유요한 사용자인지 확인하는 과정

 

2. 인가 (Authorization) - 권한부여 란?

: 유요한 사용자가 작업을 수행할 수 있을까?

: 사용자 권한을 확인하는 행위

: 사용자를 인증한 후에는 어떤 종류의 작업을 수행할 수 있는지 결정해야 한다.

: 사용자에게 작업을 수행할 수 있는 권한이 있는지 확인하는 프로세스

3. 예제

• 인증: 회사 출입을 위한 출입증 확인 혹은 생체정보 (지문, 홍채) 인식
• 인가: 회사 건물 내 접근 권한 관리
  1. 방문자 → 회의실만 접근 가능
  2. 직원 → 회의실, 사무실 접근 가능
  3. 관리자 → 회의실, 사무실, 서버실, 물품보관실 접근 가능

웹에서의 인증 및 인가

• 인증: 로그인을 통해 본인임을 확인 (주로, 아이디와 패스워드 이용)
• 인가: 주로 역할에 따른 사용 권한 관리
• 예) 웹 카페 사이트에서 회원 랭킹 별 가능한 첨부파일 크기를 다르게 부여