В чем разница между аутентификацией и авторизацией

Аутентификация — это процесс проверки подлинности пользователя, подтверждение того, что он действительно тот, за кого себя выдает. Авторизация — это процесс определения, какие действия или ресурсы доступны уже аутентифицированному пользователю.

Проще говоря:

• Аутентификация отвечает на вопрос "Кто ты?".
• Авторизация отвечает на вопрос "Что тебе разрешено?".

Пример на практике (веб-приложение):

1. Аутентификация: Пользователь вводит логин и пароль. Система проверяет их в базе данных и, если они верны, создает сессию или выдает JWT-токен.
2. Авторизация: При попытке перейти на страницу /admin/dashboard система проверяет роль пользователя в его токене или сессии. Если роль admin — доступ разрешен, если user — возвращается ошибка 403 Forbidden.

Техническая реализация (концептуально):

// 1. Аутентификация (проверка логина/пароля)
$user = User::where('email', $request->email)->first();
if ($user && Hash::check($request->password, $user->password)) {
    // Генерация токена для аутентифицированного пользователя
    $token = $user->createToken('api-token')->plainTextToken;
}

// 2. Авторизация (проверка прав в middleware)
// В маршруте:
Route::get('/admin/reports', [ReportController::class, 'index'])->middleware('can:view_reports');

// В политике (Policy):
public function viewReports(User $user)
{
    // Проверяем, есть ли у пользователя нужная роль
    return $user->role === 'admin' || $user->role === 'auditor';
}

Распространенные механизмы:

• Аутентификация: Логин/пароль, OAuth 2.0 (через Google/GitHub), биометрия, одноразовые коды (2FA).
• Авторизация: Ролевая модель (RBAC), списки контроля доступа (ACL), атрибутивная модель (ABAC).