認証と認可

https://twitter.com/M_KOTARO__/status/1569169299927072769?s=20&t=-jUTZS-DHX1xOQAvDF2z-A

https://dev.classmethod.jp/articles/authentication-and-authorization/

認証：対象者の特定、確認
認可：対象者がアクセス権限を持つことを確認

認可は権限を持つ何かトークンなどを持っていることで許可をするが、トークンを持っている”だけ”で認証するのは脆弱性がある。
現実世界で言うなら人が買った切符を盗んで、「新幹線の指定席の切符を持っている人」＝対象者とみなすと言う感じになる。取られたらおわり状態になってしまうので、認可を認証として代替することは超危険

https://www.sakimura.org/2012/02/1487/

https://zenn.dev/mryhryki/articles/2021-01-30-openid-connect

単なるアクセストークンで認証するのではなく、IDトークン（JWT）によって認証をする。

IDトークンの特徴

• 「いつ」「どこで」「なんのために」の情報を持つ
  • トークンの有効期限も決めれる
• 改ざん不可（＝改ざんを検知できる）

OpenID Connect入門
https://qiita.com/TakahikoKawasaki/items/498ca08bbfcc341691fe