「認証」と「認可」の違い

セキュリティの記事なんか読んでいて、何度か調べているような気がするので、忘れないように（忘れてもいいように）ここにまとめておきたいと思います。OAuth もこれを理解していれば分かりやすいですね。

目次出力

認証

• Authentication（オーセンティケーション）
• 相手が誰（何）であるかを確認すること
• 認証の三要素（知識要素、所持要素、生体要素）

認可（承認）

• Authorization（オーソライゼーション）
• 権限を与えること
• 誰であるかは関係ない

例

• 認証に基づく認可　＝　運転免許証
• 認可のみ　＝　電車の切符

OAuth

認証と認可を分離したうえで、認可（権限）を外部システムに委譲する。

参照

↓すごく分かりやすい