Author: Edison Chue 2022-02-16 2 mins read

雜記：Authentication 與 Authorization 的區別

Authentication 身份驗證

• 確認用戶是否真的是他所宣稱的人（Verifies you are who you say you are）
• 常見的身份驗證類型分別有 Single-Factor Authentication （例如 Username + Password）和 Multi-Factor Authentication（除了 Username + Password 外再外加一些憑證，例如手機訊息/電郵驗證等等），當然，驗證的步驟越多就越能證明用戶的真確性

Authorization 身份授權

• Authorization 決定用戶是否有權限存取資源（Decides if you have permission to access a resource）
• 從中文比較能看出來，身份驗證一般發生在身份驗證之後
• 換句話說，身份授權是確定經過身份驗證的用戶是否有權訪問特定資源的過程
• 一個很好的例子是，一旦通過身份驗證確認員工 ID 和他的密碼，下一步就是確定該員工可以進入哪個樓層，這就是身份授權要做的事

參考資源和延伸閱讀：

Authentication vs Authorization - Anum Siddiqui