Authentication vs Authorization Nedir 
Kimlik Doğrulama ile Yetkilendirme Arasındaki Hayati Fark
“Kapıyı açmak başka, içeride nereye gideceğine karar vermek bambaşkadır.”
— Ersan Karavelioğlu
Authentication Nedir
Authentication (Kimlik Doğrulama), “
Sen kimsin?” sorusuna verilen cevaptır.
Sistem, kullanıcının iddia ettiği kişi olup olmadığını kanıt ister.
Kimlik doğrulanmadan hiçbir işlem başlamaz.
Authorization Nedir
Authorization (Yetkilendirme), “
Ne yapabilirsin?” sorusudur.
Kimliği doğrulanmış kullanıcının
erişim sınırlarını belirler.
Yetki, kimlikten sonra gelir.
Temel Farkın Özeti
Authentication =
Kimlik
Authorization =
Yetki
Biri kapıyı açar, diğeri odaları sınırlar.
Neden Birlikte Anılırlar
Çoğu sistemde art arda çalışırlar.
Ama
aynı şey değildirler.
Karıştırıldıklarında büyük açıklar doğar.
Authentication Nasıl Yapılır
Parola
MFA / 2FA
Sertifika
“Bildiğin, sahip olduğun, olduğun” prensibi.
Authorization Nasıl Yapılır
Rol bazlı (RBAC)
Politika bazlı (ABAC)
“Bu kullanıcı bu kaynağa erişebilir mi?”
En Sık Yapılan Hata
“Login olduysa her şeyi yapabilir.”
Yetki kontrolü eksik bırakılır.
Bu,
Broken Access Control’ün köküdür.
Gerçek Hayat Benzetmesi
Authentication: Binaya giriş kartı.
Authorization: Hangi katlara çıkabildiğin.
Kart var diye her kapı açılmaz.
Authentication Güçlü, Authorization Zayıf Olursa
Kullanıcı gerçek ama sınırlar yok.
Yetki yükseltme (Privilege Escalation) başlar.
En tehlikeli senaryolardan biridir.
Authorization Güçlü, Authentication Zayıf Olursa
Yanlış kişi sisteme girer.
Yetkiler doğru olsa bile
yanlış elde.
Kimlik çalındıysa her şey çöker.
Session ve Token İlişkisi
Authentication sonucu oturum açılır.
Authorization her istekte
yeniden kontrol edilir.
Süreklilik burada sağlanır.
API Dünyasında Fark Nasıl Görünür
Authentication → Token alırsın.
Authorization → Endpoint’e erişim izni.
API güvenliği bu ayrımı net ister.
OAuth ve JWT Bağlamı
OAuth: Kimlik ve yetki delegasyonu.
JWT: Kimlik + yetki bilgisi taşıyabilir.
Ama token içeriği
körlemesine güvenilmez.
Zero Trust’ta Nasıl Ele Alınır
Authentication sürekli doğrulanır.
Authorization bağlama göre değişir.
Güven statik değil dinamiktir.
Loglama ve Denetim
Kim giriş yaptı? (Authentication)
Ne yaptı? (Authorization)
Olay müdahalesinin temeli burasıdır.
Neden Hayati Bir Farktır
İhlallerin çoğu yetkilendirme hatalarından gelir.
Kimlik doğrulama tek başına güvenlik değildir.
Yetki sınırı yoksa güvenlik yoktur.
Küçük Sistemlerde de Gerekli mi
Evet.
Otomasyon küçük–büyük ayırmaz.
Açık varsa hedef vardır.
Yanlış Anlaşılan Nokta
“Admin sayısı az, sorun olmaz.”
Tek admin hesabı bile yeterlidir.
Güvenlik sayı değil
kontrol meselesidir.
Son Söz Kimlik Kapıyı Açar, Yetki Sınır Çizer
Authentication olmadan sistem açılmaz.
Authorization olmadan sistem
dağılır.
Güvenli mimari, bu ikisini asla karıştırmaz.
“Kim olduğun önemlidir; ama ne yapabildiğin daha da önemlidir.”
— Ersan Karavelioğlu
