「나」가 「너희들」에게, 인증이라든지 인가라든지를 해 주시는 것과 같은 플로우로 생각한다.

Authentication (인증≒본인인지 확인)

wikipedia에는 ​​confirming the truth 즉, 클라이언트에 대해, "당신은 확실히 당신?"을 확인한다.
예를 들면, 「Twitter에서, @ndxbn 계정을 만든 본인인지를 확인한다(≒클라이언트에서 보면, 로그인한다·로그인한다)」라고.


「나」가 「너희들」을 신뢰하지 않으면 성립되지 않는다. 세상의 「패스워드 유출했다」라고 하는 것은, 즉 「비밀키를 뿌렸다」라고 하는 것으로, 「너희들」의 신뢰가 없어진다. '너희들'은 신뢰를 사수해야 한다는 압력에 쫓기는 셈이다.

Authorization (인가≒한정적인 권위의 위양)

무언가하기 위한 권한(권위, 권리…)을 준다. 권한을 줄 수 있는 사람을 「권위자」라고 하기로 한다. "권위자"의 유래는 Authoritative name serve를 권위 DNS 서버로 번역하는 것에서 유래한다.
예를 들어, "Twitter에서, @ndxbn 계정으로 트윗할 권한을 준다"라든지. 이 권한을 부여받기 위해, 권한을 원하는 클라이언트는 자신의 증명을 할 수 있도록 하는 것을 메시징의 인수로 한다.

양도와 위양의 차이

어느 쪽도, 「A가 가지는 권한・권위・권리를, B에 걸치는」 부분은 같다. 'B에 나왔다' 후에 'A에 남을까'라는 점이 다르다. '이양'은 남지 않는다. '위양'은 남는다.
「이양」은 「완전히 인도하는 것을 목적으로 하고 있다」가, 「위양」은 「(일시적으로) 대신에 받는 것」을 목적으로 하고 있다.

OAuth

OAuth는, Authorization 왜…
뭐 확실히, 「유저 ID만을 받는 권한」으로 하고 있으면, 인증같이 사용할 수 있을지도 모르지만.

OAuth 2.0 is not an authentication protocol.

Certification(인증≒본인인지 확인한다. 단, 서로 신용하지 않는다)

지금까지의 Auth 어떻게든 , 모두 「 어느 쪽인가 한쪽이 신뢰·신용되고 있다」 를 전제로 성립하고 있었다. 그러나 서로 신용이 안 될 때도 있다.
그런 때는, 나도 너희들도 신용하고 있는 「제삼자 인증 기관」을 사용하잖아.



덧붙여서, HTTPS등에서의 Certification은, 「너희들(HTTP 클라이언트)」쪽이, 입장은 위가 된다.
너희의 목표는, 「"신뢰할 수 있는"Web 컨텐츠를 취득하는 것"이기 때문에, 일부러 Web 서버에 대해서 "나는 신뢰할 수 있는"피드백은 하지 않는다. 오히려 까다로워 그만. (신뢰할 수 있는지 여부는 주소 표시 줄의 열쇠로 볼 수 있습니다.)

너희들(GoogleChrome라든지)이 나( ㅋㅋㅋ 5오gぇ. 어린이 남자. jp )의 확인(인증)


인식이 잘못되면 츳코미 주세요. 부탁드립니다.