C'est quoi l'authorization ?

Petit disclaimer : cet article est la suite du premier épisode => c'est quoi l'authentication. Si vous n'êtes pas à l'aise avec le concept d'authentication je vous conseille donc de le lire en premier ! 😘

La différence entre l'authentication et l'authorization

L'authentication est le processus qui permet de vérifier QUI vous êtes. Ce processus répond à la question "Qui fait la requête ?".

L'authorization c'est le processus qui permet de vérifier ce que vous avez le droit de faire. Il répond à la question "Avez-vous la permission de faire cette requête ?"

Ces processus sont donc différents, mais se suivent, car pour vérifier ce que vous avez le droit de faire, il faut nécessairement savoir QUI vous êtes.

Dans un système informatique, on va donc avoir :

1. authentication => déterminer qui fait la requête
2. authorization => déterminer si cette personne a le droit de faire cette requête.

Pour éclaircir la différence, l'abrégé de l'authentication est AuthN, et l'abrégé de l'authorization est AuthZ.

A quoi ça sert ?

Une web-app c'est comme un bâtiment d'entreprise,
Tout le monde n'a pas les mêmes droits.

- Si vous n'êtes pas salarié, vous ne pouvez pas entrer dans le bâtiment
- Si vous êtes salarié vous pouvez entrer dans les 2 premiers étages
- Si vous êtes salarié CEO/COO/CTO vous pouvez également entrer au 3ème étage.

Dans une web-app c'est le même fonctionnement. Prenons l'exemple d'un outil comme slack ( ou teams ):

Tous les utilisateurs n'ont pas les mêmes droits:

Les utilisateurs simples peuvent :
- envoyer des messages
- lire des conversations

les administrateurs peuvent :
- envoyer des messages
- lire des conversations

- mais également
- inviter de nouveaux membres
- supprimer des membres

Pour être sûrs qu'un utilisateur simple ne va pas pouvoir supprimer un admin, il faut donc mettre en place un système d'authorization!

Pour ne rien rater tu peux t'inscrire pour recevoir chaque article directement par mail ! Tu peux aussi t'abonner sur Linkedin 😎