在網路安全中，我們經常聽到「認證」和「授權」這兩個詞。雖然它們聽起來很像，但它們在保護你的帳號和數據時，扮演的角色卻是截然不同的。

理解這兩者的區別，是掌握資安管理核心的關鍵。我們可以將它們想像成是搭乘捷運的兩個獨立步驟。

1. 認證 (Authentication)：你是誰？
   認證的目的，是證明「你是你所聲稱的那個人」。這是存取任何系統或資源的第一道關卡。

比喻：你走進捷運站，掏出你的 悠遊卡（或車票），將它靠近感應區。

這張卡片裡有你的身份資訊，機器會讀取並確認：「這是一張有效的、付過費的票嗎？」

一旦機器確認這張票是有效的，它就完成了「認證」。它確認你是一位合法的乘客，可以進入捷運系統。

技術應用：在網路世界中，認證就是你輸入使用者名稱和密碼、使用指紋或臉部辨識、或是透過 多重認證 (MFA) 的過程。系統的目的只有一個：確認你的身份是真實且合法的。

2. 授權 (Authorization)：你能做什麼？
   授權的目的，是決定「確認身份後，你能做哪些特定的事情」。這是比認證更深層次的權限管理。

比喻：你已經刷卡進了捷運站（通過了認證）。現在，你決定要進入一個機房或員工休息室。

雖然你有一張有效的悠遊卡，但這張卡片沒有授權你進入這些特定的、有管制的地方。

如果換成一位捷運工程師，他的卡片除了能讓他通過閘門，還被授予了進入機房的權限。

技術應用：在網路世界中，授權就是系統判斷你能夠讀取、修改、或刪除哪些檔案或功能。我們之前討論的最小權限原則、ACL 或 RBAC，都是授權的具體實踐方式。