身份認證（Authentication）與授權（Authorization）是資訊安全中的兩個重要概念，經常被混淆，但它們處理不同的問題。

1. 身份認證（Authentication）

身份認證是用來確認使用者的身份，也就是驗證某人或某物是否如聲明的一樣。常見的身份認證方法包括：

• 帳號與密碼：最基本的身份認證方式。
• 多因素認證（MFA）：結合兩種或更多身份驗證方式，例如密碼加上一次性密碼（OTP）或生物特徵（如指紋或臉部識別）。
• 生物識別：如指紋、臉部識別、虹膜掃描等。
• 數位證書：基於公鑰基礎設施（PKI）來驗證身份。

2. 授權（Authorization）

授權是指確認某個已經通過身份認證的使用者是否有權訪問特定的資源或執行某些操作。換句話說，授權處理的是"他們可以做什麼？"的問題。常見的授權模型包括：

• 基於角色的存取控制（RBAC）：依據使用者的角色來授予資源存取權限，常見於企業環境。
• 基於屬性的存取控制（ABAC）：依據使用者的屬性、資源的屬性和環境的屬性來進行更細粒度的授權管理。
• 基於規則的存取控制（PBAC）：透過規則集來控制使用者的資源存取權限。

圖片來源：「萬物相連皆安全」的身份認證資安，確實把關企業大門,Information Security 資安人科技網

關鍵差異

• 身份認證：確認你是誰。
• 授權：確認你可以做什麼。

實際應用

在一個網站中，當你登錄時，你提供的帳號和密碼會進行身份認證，一旦認證成功，系統會根據你的身份進行授權。例如，普通用戶可能只能查看個人資料，而管理員則能管理所有用戶。

這兩個概念在資訊安全中相輔相成，確保只有合法的使用者才能執行其授權範圍內的操作。