Uwierzytelnianie i autoryzacja to dwa podstawowe mechanizmy bezpieczeństwa aplikacji. Często są mylone, ale oznaczają różne etapy kontroli dostępu.
Uwierzytelnianie
Uwierzytelnianie odpowiada na pytanie: kim jest użytkownik?
Najczęściej odbywa się przez:
- login i hasło,
- kod jednorazowy SMS lub z aplikacji,
- token dostępu,
- certyfikat,
- logowanie biometryczne.
Przykład: użytkownik wpisuje e-mail i hasło, a aplikacja sprawdza, czy dane są poprawne.
Autoryzacja
Autoryzacja odpowiada na pytanie: co użytkownik może zrobić?
Przykład: zwykły użytkownik może edytować tylko swój profil, ale administrator może zarządzać kontami innych użytkowników.
Dlaczego to ważne?
Brak poprawnej autoryzacji może spowodować, że użytkownik uzyska dostęp do cudzych danych, nawet jeśli logowanie działa poprawnie. Dlatego aplikacja musi sprawdzać uprawnienia nie tylko w interfejsie, ale także po stronie serwera.
Dobra praktyka
Nie należy polegać wyłącznie na ukrywaniu przycisków w interfejsie. Każda operacja na danych powinna być kontrolowana przez backend.
Wniosek egzaminacyjny
Uwierzytelnianie sprawdza tożsamość użytkownika, a autoryzacja sprawdza jego uprawnienia. Razem są kluczowe dla ochrony danych w aplikacji.