인증 vs 인가

Authentication ( 인증 )

내가 누군지 알아? 여기 내 명함 봐봐 !

인증은 사용자의 신원을 검증하는 행위로서 보안 프로세스에서 첫 번째 단계이다.

• 인증은 어떤 개체(사용자 또는 장치)의 신원을 확인하는 과정.
• 보통 어떤 인증요소를 증거로 자신을 증명한다.
• 온라인에서는 ID/PW를 입력하는 행위가 인증이 될 수 있다.
• 실생활에서는 공공기관에서 신원확인 시 신분증을 보여주는 것을 생각해보면 된다.
• 여러개의 절차가 있을 수 있다.
  • 은행의 경우, 본인인증 후 OTP, 보안카드 등의 절차를 추가로 거친다.

ex) 회원가입, 로그인

Authorization ( 인가 / 권한 부여 )

당신의 신분은 확인 되었지만, 20대만 출입 가능합니다.

사용자에게 특정 리소스나 기능에 액세스할 수 있는 권한을 부여하는 프로세스를 뜻함.

• 인증과 달리 인가는 어떤 개체가 어떤 리소스에 접근할 수 있는지 또는 어떤 동작을 수행할 수 있는지를 검증하는 것
• 어떤 리소스에 접근할 수 있는지, 어떤 동작을 수행할 수 있는지 검증한다.
• 접근 권한을 얻는 일이다.
• 현실에서는 비행 시 여권과 함께 가져가는 비행기 티켓을 예로 들 수 있다.
  • 여권으로 신분확인이 되더라도 비행기 티켓이 있어야 비행기에 탈 수 있다.
• 인터넷 기반 앱에서는 보통 토큰 이라 부르는 것을 사용한다.
• 유저는 자신의 인가 세부사항을 가진 토큰을 통해 서버에 인증받는다.
• 서버는 유저의 토큰을 보고 권한이 있는지 판단한다.

ex) 게시판에서 다른 사람이 쓴 글을 나는 수정할 수 없다.

인증 VS 인가

---

인증과 인가는 한번에 쓰일 수도 있다.
회사에 출근하면 찍는 지문 인식기는 내가 누구인지도 인식하면서, 내가 회사 출입문을 통과할 수 있도록 회사 내부 접근을 인가하기도 한다.

인증은 인가로 이어질 수 있지만, 인가는 인증으로 이어지지 않을 수도 있다.
편의점에서 구매한 버스카드는 내가 누구인지에 대한 인증 정보는 담고 있지 않지만, 잔액이 충분하다면 얼마든지 버스 탑승을 인가받을 수 있다.

---

요약

---

• 인증은 내가 누구인지 확인하는 행위이다.
• 인가는 내가 권한이 있는지 확인하는 행위이다.
• 인증은 인가 의사결정의 요소가 될 수 있다.

---

ex1)
방문자가 회사 건물에 방문했다고 가정하자.
인증 ( Authentication ) 이란, 방문자가 자신이 회사 건물에 들어 갈 수있는지 확인 받는 과정이다.
본인이 회사 건물에 등록되어 있는 정직원일 수도 있고, 누군가로 인해 인증 받을 수 도 있다.
 
인가 ( Authorization ) 이란, 방문자가 회사 건물에 방문했을 때, 허가된 공간에만 접근 가능하다.
개인마다 건물내 허가된 공간이 다르다.
관리자라면 건물내 다양한 공간에 대한 접근 권한이 있을 것이다.
반면에 방문자일 경우, 허용된 공간에만 접근 가능하다.
이런 접근 권한을 관리하는 것이 인가 이다.

ex2)
편의점에서 담배를 사기 위해
신분증 검사를 하는 행위는 "인증"

신분증을 보고 살수 있는 나이인지 없는 나이인지를 확인하는 과정이 "인가"