두 단어 컨퍼런스에서 발음 똑같고 버그 티켓의 90% 에서 같은 문장에 섞여 나와. 완전히 다른 layer 인데, 헷갈리는 게 권한 상승 버그 ship 하는 방법이야.
| 용어 | 답하는 질문 | 실패 모드 |
|---|---|---|
| Authentication (AuthN) | "누구야?" | 검증 안 된 호출자가 너로 취급됨 |
| Authorization (AuthZ) | "이거 해도 돼?" | 검증된 호출자가 하면 안 되는 걸 함 |
솔로 개발자가 보통 ship 하는 거
- AuthN: 통째로 skip. "그냥 나만 써." URL 도달하는 사람은 자동으로 "나".
- AuthZ: 개념조차 없음. 역할 하나: god-mode. 모든 엔드포인트가 호출자를 신뢰.
이 퀘스트의 PIN layer (Track 5) 가 AuthN 을 줘. admin 엔드포인트 (Track 8) 가 작은 AuthZ 분리를 도입 — AuthN 된 PIN 세션만 /admin/* 칠 수 있음. 이 2-tier 모델이 대부분 솔로 앱한테 충분해.