Autenticación y autorización son términos populares en los sistemas informáticos modernos que a menudo confunden a la gente. Ambos términos están relacionados con la seguridad; a menudo, la gente piensa en ellos (e incluso los utiliza) indistintamente. Sin embargo, como aprenderá a medida que vaya leyendo, la autenticación y la autorización tienen diferentes significados y aplicaciones.

Si tiene prisa, puede ir directamente a la sección Autenticación frente a autorización al final de este artículo. Pero si quiere saber más sobre estos temas, lea las siguientes secciones. Allí, tocará brevemente dos temas:

• ¿Qué es la autenticación? - ¿Qué es la autorización?

Además de entender lo que significa autenticar o autorizar, leerá sobre sus diferencias y similitudes. Al final, también aprenderá cómo Auth0 gestiona la autenticación y la autorización.

La autenticación es el proceso de confirmación de la identidad de un usuario o un dispositivo (es decir, una entidad). Durante el proceso de autenticación, una entidad suele basarse en alguna prueba para autenticarse, es decir, un factor de autenticación. Por ejemplo, si va al banco e intenta sacar dinero de su cuenta, el empleado puede pedirle un documento de identidad del usuario para comprobar quién es. En la misma línea, si compra un boleto de avión, es posible que tenga que utilizar un pasaporte para demostrar que es la persona con derecho a utilizar ese boleto antes de subir al avión. Ambos ejemplos ilustran situaciones de la vida real en las que se producen procesos de autenticación para confirmar su identidad (usuario autentificado).

En una transacción digital, por ejemplo, cuando intenta acceder a su perfil de Facebook o al cliente de correo web de su empresa, ocurre un proceso similar. En estas situaciones, en lugar de presentar un documento de identidad, un pasaporte o algo similar, se suele demostrar la identidad al mostrar al sistema que se sabe algo (como un nombre de usuario y una contraseña) o que se posee un dispositivo (como un teléfono móvil para poder recibir un SMS con un código). Tras presentar estos conocimientos o demostrar que controla un dispositivo concreto, el sistema objetivo reconoce su identidad y le permite acceder a él. En este escenario, el usuario autenticado utiliza factores de autenticación para probar su identidad. Estos factores pueden ser simples, la autenticación de dos factores o la autenticación de múltiples factores.

A diferencia de la autenticación, la autorización se refiere al proceso de verificar a qué recursos pueden acceder las entidades (usuarios o dispositivos), o qué acciones pueden realizar, es decir, sus derechos de acceso.

Para ver un ejemplo concreto, imagine una situación en la que usted compra una entrada para un espectáculo. En este caso, la mayoría de las veces, el establecimiento no se interesará por su identidad (es decir, por quién es usted). Lo que les importa es si usted está autorizado o no a asistir al espectáculo. Para demostrar que tiene derecho a estar allí, en lugar de utilizar un documento de identidad o un pasaporte, utilizaría una entrada.

A menudo, la entrada que le autoriza a asistir al espectáculo no contiene ninguna información sobre su identidad. Sin embargo, aunque incluya información sobre su identidad, no es lo que se verifica en el proceso de autorización.

En las aplicaciones de software basadas en Internet, un enfoque común es utilizar artefactos llamados tokens para manejar la autorización. Normalmente, una vez que un usuario ha iniciado sesión, las aplicaciones empiezan a preocuparse por lo que puede hacer. En este escenario, esto lleva a la creación de un token que lleva detalles de autorización basados en la identidad del usuario. El sistema utiliza este token de autorización para tomar decisiones de autorización; esto concede o impide una solicitud de acceso a los recursos.

Aunque las secciones anteriores pueden aclarar lo que significan la autenticación y la autorización, la definición y el uso de estos términos pueden solaparse con frecuencia (lo que puede ser la causa de la confusión general sobre ellos). Por ejemplo, en la situación del banco, la identidad del usuario presentada al empleado también se utiliza para autorizar el acceso a los fondos de su cuenta.

En una situación similar, una empresa que requiere tarjetas de identificación para controlar el acceso a las salas utiliza estas tarjetas tanto para autenticar a la persona (nombre y foto) como para autorizar el acceso.

Como ve, la autenticación y la autorización son temas que parecen ser intercambiables en ciertas situaciones; esto es lo que causa confusión.

Sin embargo, lo importante es que la autenticación lleva a la autorización, pero la autorización no lleva a la autenticación.

Mientras que la prueba de identidad puede ser suficiente para conceder derechos de acceso (es decir, para estar autorizado a conseguir algo), tener autorización no siempre puede servir para identificar a una entidad.

Por ejemplo, un boleto de embarque le autoriza a subir al avión, y también contiene datos sobre su identidad. Así, permite al personal conocer su nombre. Sin embargo, una entrada para asistir a un espectáculo puede no incluir datos de identidad. Simplemente, demuestra que tiene el derecho a participar en el programa, nada más.

En resumen:

• La autenticación es el acto de identificar a un usuario o un dispositivo.

• La autorización es el acto de permitir o denegar a los usuarios y dispositivos los derechos de acceso.

• La autenticación puede utilizarse como un factor en las decisiones de autorización.

• Los artefactos de autorización pueden no ser útiles para identificar a los usuarios o dispositivos.

Siga leyendo en nuestra [página de Introducción a IAM] (https://auth0.com/intro-to-iam/) para explorar más temas en torno a la gestión de identidades y accesos.