인증과 인가가 무엇인지, 둘의 차이는 무엇인지 알아보자.

인증

• 누구인지 확인하는 과정(ex. 로그인)

인가

• 특정 행위에 대해 권한을 확인하는 과정(ex. 일반유저 A가 관리자만 가능한 작업을 하려 할 때)

---

두 가지가 헷갈리는 이유는 인증에 쓰인 무언가를 인가에 쓰기도 하고, 인가에 쓰인 무언가를 인증에 쓰기도 하기 때문이다.
예를 들어 '나'임을 증명하기 위해 은행 직원에게 건넨 신분증은 내 계좌에 접근하기 위한 권한을 얻을 때도 사용한다. 또, 회의실 출입 권한을 제어하기 위해 카드를 쓰는 회사는 그 카드를 이용해서 그 사람이 누구인지 인증하기도 한다.

여기서 중요한 점은 인증은 인가로 이어지지만, 인가는 인증으로 이어지지 않을 수 있다. 위의 회의실 예에서 만약 카드가 사용자에 대한 정보를 담고 있지 않는다면, 혹은 담고 있더라도 그게 정말 그 사람인지 100% 확신할 순 없다.(내가 다른 사람의 아이디와 비밀번호로 로그인을 했을 때, 다른 사람의 카드를 가지고 있을 때 등)

---

인증과 인가에 대한 개념은 이정도이다. 각각에 대한 방법에 대해서는 다음 글에서 살펴보자.