Autenticazione riguarda la dimostrazione dell'identità di un richiedente. "Identità" può essere una proprietà o un requisito specifico, ad es. "essere cittadino statunitense" o "avere 21 anni" (per prendere alcuni esempi dalla risposta di @ David).
Autorizzazione riguarda la decisione su cosa consentire a un'identità specifica di fare. Ad esempio, una regola di autorizzazione può affermare che "chiunque abbia più di 21 anni può acquistare birra".
In generale è necessario che sia concesso l'accesso a entrambi. Nell'esempio della birra, il barista deve assicurarsi che il cliente putativo abbia davvero più di 21 anni, e deve anche, a un certo punto, ottenere l'informazione che la birra può essere legalmente venduta ai clienti che hanno 21 anni. L'ordine in cui esegue entrambe le operazioni non è rilevante, purché entrambi siano soddisfatti. In effetti, l'esempio di vendita della birra è un primo esempio di autorizzazione che si verifica prima dell'autenticazione: il barista viene a conoscenza della regola di autorizzazione ("21+ - > OK") prima di incontrare il cliente.
In molti sistemi di computer, preferiamo fare prima l'autenticazione, per i seguenti motivi:
-
Ottenere le regole di autorizzazione per la richiesta può essere costoso. Non vogliamo farlo per un richiedente non ancora autenticato, perché potrebbe diventare un Denial-Of-Service.
-
Gli amministratori di sistema sono solitamente preoccupati di rendere note le loro regole di autorizzazione in generale. Raccogliendo le informazioni di autorizzazione prima dell'autenticazione, queste informazioni possono essere divulgate solo a chiunque.