'인증'과 '인가'

많이 헷갈리는 인증과 인가에 대해 비교해서 알아보자.

우선 인증은 어떤 사용자의 신원을 확인하는 과정이다. 개체는 보통 어떤 인증요소를 증거로 제시하여 자신을 인증한다.

인가는 인증과 달리 어떤 사용자가 어떤 리소스에 접근할 수 있는지 또는 어떤 동작을 수행할 수 있는지를 검증하는 것, 즉 접근 권한을 얻는 일을 말한다.
인터넷에서는 일반적으로 토큰이라 부르는 것을 이용하여 인가를 다룬다. 유저가 로그인을 하면 시스템은 인가토큰을 이용해서 사용자에게 어떤 권한을 부여할지, 즉 리소스 접근 요청을 허용할 지 거부할지를 결정한다.
여기서 중요한 것은 인증은 인가로 이어지지만 인가는 인증으로 이어지지는 않는다는 점이다.