認証と認可の違い
認証(Authentication)は「その人が誰なのか」をはっきりさせるのが目的。 認可(Authorization)は「その人は何ができるのか(何ができないのか)」を指定するのが目的。 認証と認可はあちこちで混同されて使用されている。
典型的なパスワードによるログインなどでは、認証と認可が事実上同時に行われてしまっているため、この違いが分かりにくくなっている。
例えば、ログイン後にログインしないと見られないページが見られるようになっている。
また、認可は本当の意味で単体で利用することができず(一応 Everyone に対しての認可はできて、それがもっぱら使われてしまっているのだが)、その機能を認証として流用してしまっていることがある。(OAuth2など)
両方とも Auth で始まる単語になっているのでますます混同されやすくなっている。