단적은 예로 로그인
인증=당신은 누구입니까?
어떻게인증?
로그인을 한 후에도 계속해서인증이 이뤄져야함
로그인은 유저 A로 하고, 실제서비는 유저B가 이용할지 모른다
어떻게하면 모든 요청에서 인증할수있을까?
방법1. 모든요청마다 id,password를 포함시켜요청
방법2. id,password를 서버에주고 응답으로 아무나 해독이불가하능한 key를 받는다
해당 key를 모든 요청에 포함해서 보낸다.
인증이후에 리소스에대한 권한 통제를 의미
인가=당신은 무엇을 할수있습니까?
인증 이후에 인가가 필요