인증 (Authentication) & 인가 (Authorization)

인증과 인가는 보안과 관련된 두가지 핵심 개념 이다.

 

인증과 인가 모두 시스템 및 서비스의 보안을 강화 하는데 사용 되지만,

인증 하고 인가는 서로 다른 기능이기에 아래에서 정리 하도록 한다.

 

1. 인증 (Authentication)

 

인증은 사용자 또는 시스템이 본인 자체의 신원 == Identity 이 맞는지를 확인 하는 과정 이다.

 

우리가 아는 보통 Identity 를 확인 하는 방법은 아이디 및 비밀번호 이다.

요즘에는 바이오 인증 이라 해서, 지문 / 홍채 등 여러 인증이 존재 한다.

뿐만 아니라, 토큰 등 다양한 인증 방법이 존재 한다.

 

 

 

2. 인가 (Authorization)

 

인가는 인증된 사용자가 특정 자원 (데이터) 또는 서비스에 접근 하고 사용 할 수 있는 권한을 부여 받는 과정 이다.

 

그러니까, 사용자는 역할을 기반으로 해서 권한을 받거나, 그외에 정책을 기반으로 받을 수도 있고,

다양한 방법으로 권한을 부여 받을 수 있다.

 

앞에서 역할을 기반으로 권한을 받는 개념을 Role-Based Access Control == RBAC 라고 정리 했었다.

 

예를들어, 사용자가 특정 파일에 대한 읽기 또는 쓰기 권한을 가지고 있는지를 확인 하는 것이 인가의 예시 이다.

 

 

 

결국 간단히 정리 하면,

인증은 너는 누구냐 ? 이고,

인가는 너는 무엇을 할 수 있니 ? 내가 너의 권한을 한번 확인해볼게 ~ 이다.

 

은행 웹 사이트에 로그인을 할 때, 

사용자는 계정에 대한 인증을 하고, 성공적으로 로그인을 하면, 

은행 관련된 서비스를 수행 할 수 있게 된다.

당연히 일반 사용자 라면 이체 / 잔액 확인 / 통장 확인 / 등등 의 권한이 있을 것이고,

이렇게 권한에 따라 사용할 수 있는 서비스 (역할) 가 정해진다.

권한이 무엇인지를 확인 하는 것을 인가 라고 한다.