【認證與授權】Authentication、Authorization，傻傻分不清楚？

認證(authentication)跟授權(authorization)這兩個名詞常常被混淆，但本質上是完全不同的兩個概念，在數位化的時代下，為了確保每位使用者的安全性，每個系統幾乎都具備認證(authentication)與授權(authorization)這兩大功能，而這些概念也常常出現在我們生活周遭，因此多了解一點，對我們來說也不無小補。

所謂的認證(authentication)，我們就想像為通行證的概念，就以企業來說，我們每個人進到公司都會收到一張員工通行證，而這張員工通行證也註冊了屬於你這個人的唯一識別資訊，當我們上班前刷卡這個動作其實就是一個認證(authentication)的過程，讀卡機讀取我們的卡片資訊，送到伺服器系統進行比對之後，確定這個人是該公司的員工才能開門進入公司上班。

而授權(authorization)則是經過認證(authentication)之後被賦予的權力，以上述例子來說，當我們進到企業工作時，通常根據應徵職位被賦予工作上的權力，例如： 財務長被授予管理公司財務的權責、IT被賦予管理硬體的權責…，每個人根據職位扮演的角色，被賦予對應的權責，相同的授權方式，常見的論壇(一般用戶、管理員)、大樓門禁(保全、住戶)…等，都隱含著認證與授權的概念。

首先當我們透過以下的進行連結註冊完成之後，就會有屬你這個人的唯一識別帳號。

註冊完成後，我們在登入時，PotatoMedia就會請我們輸入手機號碼，而假設這組手機號碼已經存在於系統平台，那麼帳號密碼皆正確就能順利登入系統。

而順利登入系統之後，我們可以看到假設成為PotatoMedia的官方創作者之後所擁有的權限，就與一般創作者有所區別，這也就是授權的用意，系統中不同的角色，擁有的權限有所區別。

今天透過一些簡單的貼近生活例子，來讓大家對於認證與授權具備一定的基礎概念，除了對於在軟體領域的安全性設計上具有基本的認識之外，亦了解到生活中常見的部分，下一個篇章將會介紹實現授權的一些經典模式，也就是「RBAC」這個專有名詞，讓大家了解到授權也是可以有一套規則與模式的，算是小小科普一下。