Представьте себе такую ситуацию: после запуска системы к вам обращается первый пользователь с проблемой — он не может войти в систему, потому что СМС код не доходит. Служба поддержки не смогла помочь, и задачу передали вам на первичную диагностику. Вы быстро обнаружили, что проблема в том, что номер телефона пользователя иностранный, а подписка в СМС-шлюзе не позволяет отправлять сообщения на такие номера. Вы предоставили код из шлюза, и пользователь успешно вошел.

После обсуждения с командой стало понятно, что стоимость отправки СМС на иностранные номера в 15-20 раз дороже, чем на российские. Система требует доработок, чтобы снизить расходы. Но пока решение еще не готово, вы начали разбираться с терминологией, потому что коллеги называют эту проблему по-разному: разработчики говорят, что это "проблема в аутентификации", а менеджеры — что "проблема в авторизации". Чтобы внести ясность, давайте разберемся, чем отличаются эти термины и какие этапы проходит пользователь, чтобы войти в систему:

1⃣  Идентификация На этом этапе система должна понять, знает ли она вас. Например, проверяется, есть ли ваш email или номер телефона в базе данных. Если есть — этап пройден, и можно двигаться дальше. Если нет — нужно пройти регистрацию. Пример: Вы видите человека на улице, который идет к вам. В какой-то момент вы понимаете, что это ваш коллега с работы. Это момент идентификации.

2⃣ Аутентификация Здесь система проверяет, действительно ли вы тот, за кого себя выдаете. Это можно сделать с помощью пароля, биометрии или двухфакторной аутентификации (2FA). Этот этап помогает убедиться, что вы не кто-то другой, а именно тот, кто пытается войти. Пример: Вы приветствуете коллегу и задаете несколько вопросов, чтобы убедиться, что это действительно он, а не кто-то, кто просто похож на него.

3⃣ Авторизация На этом этапе система решает, какие права предоставить пользователю. Это значит, что система определяет, какие ресурсы или функционал доступны конкретному пользователю, в зависимости от его прав и ролей. Пример: После того как вы убедились, что это ваш коллега, вы начинаете обсуждать работу, потому что знаете, что ему можно разглашать информацию, к которой у вас есть доступ.

🔍 Почему это важно? Понимание различий между идентификацией, аутентификацией и авторизацией поможет не только в решении технических проблем, но и при коммуникации с командой. Так проще определить, на каком этапе произошла ошибка и как ее устранить. Это также позволит вам точнее подготовить аналитику и разработку, а для бизнеса — четко обозначить проблему, над которой нужно работать.

Телеграм канал