В чем разница между аутентификацией и авторизацией

Question

В чем разница между аутентификацией и авторизацией

Тип вопроса: Безопасность Вероятность: 28% Категория: PHP Разработчик

Ответ

Аутентификация — это процесс проверки подлинности пользователя, подтверждение того, что он действительно тот, за кого себя выдает. Авторизация — это процесс определения, какие действия или ресурсы доступны уже аутентифицированному пользователю.

Проще говоря:

Аутентификация отвечает на вопрос "Кто ты?".
Авторизация отвечает на вопрос "Что тебе разрешено?".

Пример на практике (веб-приложение):

Аутентификация: Пользователь вводит логин и пароль. Система проверяет их в базе данных и, если они верны, создает сессию или выдает JWT-токен.
Авторизация: При попытке перейти на страницу /admin/dashboard система проверяет роль пользователя в его токене или сессии. Если роль admin — доступ разрешен, если user — возвращается ошибка 403 Forbidden.

Техническая реализация (концептуально):

// 1. Аутентификация (проверка логина/пароля)
$user = User::where('email', $request->email)->first();
if ($user && Hash::check($request->password, $user->password)) {
    // Генерация токена для аутентифицированного пользователя
    $token = $user->createToken('api-token')->plainTextToken;
}

// 2. Авторизация (проверка прав в middleware)
// В маршруте:
Route::get('/admin/reports', [ReportController::class, 'index'])->middleware('can:view_reports');

// В политике (Policy):
public function viewReports(User $user)
{
    // Проверяем, есть ли у пользователя нужная роль
    return $user->role === 'admin' || $user->role === 'auditor';
}

Распространенные механизмы:

Аутентификация: Логин/пароль, OAuth 2.0 (через Google/GitHub), биометрия, одноразовые коды (2FA).
Авторизация: Ролевая модель (RBAC), списки контроля доступа (ACL), атрибутивная модель (ABAC).

Ответ 18+ 🔞

Давай разберем, что к чему, а то у некоторых в голове после этих слов каша, будто они водку с пивом мешали.

Аутентификация — это когда ты доказываешь системе, что ты не левый мужик, а именно тот самый Вася Пупкин. Авторизация — это когда система, признав тебя Васей, решает, пускать ли тебя в барную стойку на кухне или ты можешь только в гостиной пиво пить.

Если ещё проще, на пальцах:

Аутентификация — это ответ на вопрос "Ты кто, блядь?".
Авторизация — это ответ на вопрос "А на что ты, собственно, имеешь право, чувак?".

Пример из жизни, чтобы совсем охуенно стало понятно:

Аутентификация: Ты подходишь к парадной, называешь фамилию, консьержка сверяет с списком и говорит: "А, Петров, проходи". Вот ты и аутентифицирован.
Авторизация: Ты заходишь в подъезд и пытаешься открыть дверь в чужую квартиру ключом от своей. Не выходит, ёпта? Потому что тебе не авторизовали доступ к этой квартире. Максимум — к своему сортиру.

Как это выглядит в коде, если не бздеть:

// 1. Аутентификация (ты ли это, ёпта?)
$user = User::where('email', $request->email)->first();
if ($user && Hash::check($request->password, $user->password)) {
    // Всё, чувак, ты свой. Держи токен, как пропуск.
    $token = $user->createToken('api-token')->plainTextToken;
}

// 2. Авторизация (а можно ли тебе вот сюда?)
// В маршруте прописываем: "Эй, на эту ручку пускать только избранных!"
Route::get('/admin/reports', [ReportController::class, 'index'])->middleware('can:view_reports');

// А вот тут сама проверка, избранный ты или так, мартышлюшка.
public function viewReports(User $user)
{
    // Смотрим, админ ты или аудитор. Если нет — иди нахуй с такими запросами.
    return $user->role === 'admin' || $user->role === 'auditor';
}

Чем это всё делают, чтобы не спалиться:

Чтобы доказать, кто ты: Старый добрый логин с паролем, вход через гугл (OAuth 2.0), отпечаток пальца, смска с кодом (2FA).
Чтобы определить, что тебе можно: Роли (RBAC — админ, юзер, гость), списки прав (ACL), или сложные правила вроде "пускать только по вторникам с IP офиса" (ABAC). Если накосячить с авторизацией, будет вам хиросима и нигерсраки в данных, доверия ебать ноль.