- 認証(Authentication)
- 認可(Authorization)
http://dev.classmethod.jp/security/authentication-and-authorization/
ログインは、認証と認可が同時に発生します。
認証(Authentication)は、アクセスしてきたユーザが誰であるか?を特定し、認可(Authorization)は、アクセスできる権限を与えます。
大好きなアーティストのライブの抽選に当たった人を例にすると、 購入する時に当選者かどうか?確認することが認証 コンサートのチケットを発行することが認可 チケットだけ見ると、アクセス出来る権限となり、チケットさえあれば、誰でもコンサート会場に入れます。
認証:OpenID Connect 認可:OAuth で行っている。
sessionのチェックしかしない的な。 認可を認証の代わりに使っちゃうのでセキュリティ的に危ない。 山田さんの家の鍵を持っているから、山田さんですね的な。
ユーザ情報と認証時の情報へのアクセスキー。