認可 は、ユーザーやシステムに対して、何にアクセスできるか どの操作をしてよいか を決める仕組みです。
ログインできたかどうかを確認する認証とは役割が違い、認可はその後に どこまで許すか を判定します。
たとえば、同じ社内システムにログインしていても、
- 一般社員は自分の申請だけ見られる
- 上長は部下の申請を承認できる
- 管理者は設定変更までできる
というように、許される操作は違います。これを決めるのが認可です。
ここで大事なのは、認証と認可を分けて考えることです。
認証は その人が誰か を確認すること、認可は その人に何を許すか を決めることです。ログイン済みでも、認可が弱ければ他人のデータ閲覧や管理操作の実行が起きえます。
認可の考え方としては、RBAC のように役割で分ける方法、属性で分ける方法、ポリシーで分ける方法があります。
また、OAuth 2.0 は本来、ユーザーの権限を限定的に委任する認可の仕組みです。ログインで見かけることが多くても、厳密には認証そのものとは少し役割が違います。
実装では、画面でボタンを隠すだけでなく、API やサーバー側で毎回認可チェックを入れる必要があります。
URL や ID を変えただけで他人のデータが見えるような問題は、認可不備の典型です。
ここでよくある誤解は、ログインできたら安全 と思ってしまうことです。
実際には、認証で本人確認が終わったあとに、認可で その人が本当にそのデータや操作に触れてよいか を判定し続ける必要があります。一般ユーザー、管理者、担当者、所有者などで許される範囲は違うからです。
そのため認可は、管理画面だけの話ではありません。
API、クラウド権限、社内ツール、記事編集、請求情報、顧客データなど、誰に何を許すか が出てくる場面すべてに関わります。
要するに認可は、ログイン後に何をしてよいかを決めるアクセス制御 です。
詳しくは 認可とは?認証との違いを最初に整理 で整理しています。