uhyo_ 「認可する権利を認可」も、そもそもただの認可も「権限の委譲」で統一できる気がする。そうせずに2種類の異なる用語に分けた本質的な意味はまだ理解できていない(?)
uhyo_ というように「認証/認可」の区別はそういう便利な定義があるから使っているだけで詳しい人はもっと本質的な理解で思考しているのだろうという想像を込めて「関連領域に詳しい人はむしろそこまで厳密な区別を意識しておらず」と書いたが、どうやらそうでもないようだ(?)
keno_ss それは犬と猫は哺乳類だよね、と言っているようなものでは? それらを分けて考えることが有益なので OAuth などでは区別しているのであって。
uhyo_ 何というか、実装上便利なことは理解していますが、まるでセキュリティの本質であるかのように区別が有難がられているのは理解できていないです。動物で例えるなら「黒猫」と「猫」に分けて「これが生物学だ!」と言われているような(?)
keno_ss そもそも僕は近い概念であるという主張が納得できないんですけど、具体的にどういうケースに対して言っているのですか? 僕が思い浮かべているのは例えば GitHub へのログイン (認証) とリポジトリの可視性判定 (認可) です。
uhyo_ 「GitHubへのログイン」は「特定のユーザーが持つ権限を移譲される権利」を取得するものだと考えると認可の一種になるのではないかと考えています。「認証」と「認可」では権利を与えてよいか検証する方法がずいぶん違いますが、そこは本質ではないという立場です(?)