Auth / Authentication vs Authorization(인증과 인가의 차이)

 

Authentication & Authorization

 

구분

• Authentication(인증) : 각 유저가 누구인지 구분하는 과정
• Authorization(인가, 권한) : 인증된 유저에게 특정 리소스에 대한 접근 권한을 부여하는 과정

 

참조 1) okta : Authentication vs. Authorization

 

Authentication(인증)

인증은 주로 아이디와 비밀번호, One-time pins, Authentication apps(인증앱), Biometrics(생체인증) 방식을 통해 진행되며 ID/PW 방식이 가장 일반적이고 많이 쓰인다. 보안의 강도를 높이기 위해서는 여러가지 방식을 중첩하는 것이 효과적이다.

 

Authorization(권한)

권한은 인증 후에 진행되는 절차로, 각 유저가 인증 후에 접속한 곳에서 가질 수 있는 권한을 부여하는 것이다. 인증의 ID/PW가 유저에게 보이는 것과 달리 권한은 유저에게 보이지 않고 유저가 관리하거나 변경할 수 없는 경우가 많다.

 

 

okta 사이트의 좋은 예제

강아지를 키우는 집의 가족들이 휴가를 떠나야되서 펫시터를 집으로 부른다. 집에 들어올 수 있도록 집 열쇠를 주는 것은 Authentication이고, 집에서 안방을 제외한 모든 곳에 펫시터가 있어도 된다는 허락을 하는 것은 Authorization이다.

 

 

---

 

참조

 

1) okta : Authentication vs. Authorization

https://www.okta.com/identity-101/authentication-vs-authorization/