인증(Authentication) & 인가 (Authorization)
Authentication(인증) 단계에서는 사용자의 신원을 확인하는데, Authorization(인가 및 권한 부여) 단계에서는 신원이 확인된 사용자에게 리소스에 액세스할 수 있는 권한을 부여합니다.
인증과 인가는 IAM(Identity and Access Management) 환경에서 명확히 구분되는 보안 프로세스입니다.
Authentication(인증) 이란, 사용자의 신원을 검증하는 행위로서 보안 프로세스에서 첫 번째 단계입니다. 즉, 로그인을 해서 토큰을 받아오는 과정입니다. (비밀번호, 일회용핀, 인증앱, 생체인식 등)
Authorization(인가) 는 시스템 보안에서는 사용자에게 특정 리소스나 기능에 액세스할 수 있는 권한을 부여하는 프로세스를 말합니다.
보안 환경에서는 권한 인증의 의미로, 항상 인증 이후에 인가가 진행이 되어야 하는데, 사용자가 먼저 자신의 자격 증명을 입증하면 기업의 관리자가 해당 사용자에게 요청한 리소스에 액세스할 수 있는 권한을 부여합니다.
요약하자면, 인가는 로그인한 후, 로그인이 필요한 서비스들을 사용할 때 해당 리소스에 접근할 수 있도록 토큰을 확인하는 과정입니다.
인증과 인가의 차이점
| 인증 | 인가 | |
|---|---|---|
| 기능 | 자격 증명 확인 | 권한 허가 & 거부 |
| 진행방식 | 로그인 서비스 | 보안팀에서 관리하는 설정 사용 |
| [사용자]읽기가능여부 | O | X |
| [사용자]수정가능여부 | 부분가능 | 불가능 |
| 데이터 전송 | ID 토큰 사용 | 액세스 토큰 사용 |
🗒 출처
- 22일차 노션 강의 자료 참고 - codecamp
- https://www.okta.com/kr/identity-101/authentication-vs-authorization/ - 인증과 인가 비교
