Эти два понятия часто путают.
Authentication - это процесс подтверждения, что Вася - это Вася. Он нужен для того, чтобы Петя не мог представиться Васей и сделать что-нибудь плохое от его имени. Пример - вход на сайт с логином и паролем. Проблемы этого процесса - это хитрые Пети, придумывающие как все-таки представиться Васями, обманув систему.
Authorization - это проверка прав (доступа). Например - может ли Вася водить машину. Или входить вон в то хранилище документации. Или вот в этот раздел приложения с управлением пользователями. Проблемы разграничения доступа - это сложность хранения информации о том, кому что можно и кому что нельзя, а также сложность использования этой информации когда надо.
Authentication обычно происходит до Authorization.
Authentication - это процесс подтверждения, что Вася - это Вася. Он нужен для того, чтобы Петя не мог представиться Васей и сделать что-нибудь плохое от его имени. Пример - вход на сайт с логином и паролем. Проблемы этого процесса - это хитрые Пети, придумывающие как все-таки представиться Васями, обманув систему.
Authorization - это проверка прав (доступа). Например - может ли Вася водить машину. Или входить вон в то хранилище документации. Или вот в этот раздел приложения с управлением пользователями. Проблемы разграничения доступа - это сложность хранения информации о том, кому что можно и кому что нельзя, а также сложность использования этой информации когда надо.
Authentication обычно происходит до Authorization.
