認証はAuthentication、認可はAuthorization、credentialは資格情報

認証と認可は似ています。概念もはっきりわからないまま利用したりしているかもしれません。認証はAuthentication、認可はAuthorizationで、それぞれ異なります。また、credential という言葉もよく出てきますが、いまいち理解ができません。

認証はAuthentication

あなたは誰？を検証すること。

認可はAuthorization

あなたは何ができる？を検証すること。

認証と認可はつながっている

ユーザログイン、サインアップといった機能の場合、認証と認可は非常に密結合な状態にあり、多くのサービスではログインすることで認証され、認可も同時に起こります。なぜならほとんどのサービスでは細かい認可による、このログインユーザが何ができるかという仕分けが必要なく、ログインしているかどうかで機能が大きく二分するだけだからです。しかし、ログインしているユーザの中でも、ある人に許可されている機能が、ある人には許可されないという仕分けが必要になると、認可という概念が重要になります。認証によって、ユーザが誰であるかを判別し、認可によってそのユーザが何ができるかを判別するわけです。

クレデンシャル credential

認証・認可の過程でよく出てくるクレデンシャルという言葉。これは、ID/Passwordもしくは認証によって得たトークンなどの信用を得るための根拠となる情報(資格情報)を差します。