Zurück zur Übersicht

Begriff

Authorization

Security Identity S2
2 Quellen 1 Lernpfad 3 Backlinks enriched

Warum wichtig?

Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.

Nach der Authentifizierung ("Wer bist du?") kommt die Autorisierung ("Was darfst du?"). Authenfizierung ist der Ausweis. Autorisierung ist der Schlüsselbund. Nur weil du Mitarbeiter bist (AuthN), darfst du nicht in den Tresorraum (AuthZ). Ein System muss prüfen: "Hat User Alice das Recht delete_database?" Wenn ja -> Aktion erlaubt. Wenn nein -> "403 Forbidden".

Merksatz: Der Prozess der Zuweisung und Überprüfung von Zugriffsrechten auf Ressourcen. Es entscheidet, ob ein authentifizierter Benutzer eine bestimmte Aktion ausführen darf.


Lernbruecke für Anfänger

Wenn du bei Authorization ganz neu startest, denke zuerst nicht an Fachwörter, sondern an die Alltagssituation: Rechte und Zugriffe trennen. Der Begriff beschreibt einen klaren Baustein im größeren Ablauf. Frage dich immer: Was ist der Eingang, was passiert in der Mitte, und woran erkenne ich am Ende, dass es funktioniert hat?

Ein guter Einstieg ist, den Begriff in einem Satz zu erklären, danach ein reales Beispiel zu nennen und erst dann die Technikdetails zu lernen. So entsteht kein reines Auswendiglernen, sondern ein mentales Modell.

Quick-Check

  1. Was ist IDOR?
    Insecure Direct Object Reference. Ein häufiger AuthZ-Fehler. Ich ändere die URL von /orders/1 auf /orders/2 und sehe die Bestellung von jemand anderem, weil das System nur geprüft hat "Ist er eingeloggt?" aber nicht "Gehört ihm Order 2?".
  2. Kann ich AuthZ ohne AuthN machen?
    Nein. Um zu entscheiden, was jemand darf, muss ich erst sicher wissen, wer er ist. AuthN ist die Voraussetzung für AuthZ.
  3. Wo entscheide ich AuthZ?
    Immer server-seitig (Backend)! Niemals im Frontend (display: none beim Admin-Button ist kein Schutz, Hacker senden den API Request trotzdem).