Autenticación
"...acto o proceso de confirmar que algo (o alguien) es quien dice ser... " wiki
Autorización
"...protege los recursos del sistema permitiendo que sólo sean usados por aquellos consumidores a los que se les ha concedido autorización para ello..." wiki
Metodos usuales
Basado en token:
- A los usuarios autenticados se les otorga un token que estipula los permisos.
- Puede ser utilizado para autenticar y autorizar.
- El token suele ir firmado criptograficamente para garantizar que no es alterado, por ejemplo JWT.
Basado en roles (RBAC role-based access control)
- Los usuarios se le asigna un set de permisos predefinidos (rol).
- Sólo puede ser usado para validar autorización, que un usuario tenga un determinado rol, no define quien es (autenticación) .
- Suele ser un modelo aditivo, un usuario puede tener varios roles asignados y los permisos efectivos es la unión de los permisos de los roles asignados.
- Los roles asignados a un usuario, también pueden ir en el token del usuario.
Listas de control de acceso (ACL)
- Una ACL especifica qué usuarios tienen acceso a recursos particulares.
- Los ACL suelen estar en el recurso al que se quiere acceder.