GN⁺: "auth" 대신 "permissions"와 "login"을 사용합시다

개발자끼리는 auth 대신 authn, authz를, 사용자와 접점이 있는 문서나 컨트롤러/파사드에 login, permission을 사용하는건 동의할 만 합니다. 다만 authn, authz까지 없애자는 건 그럴 필요가 있나 싶습니다

본문에 지적하듯이 auth가 인증과 권한을 중의적으로 사용되어 혼란스럽긴 했었죠. 순순한 개발자 외 다른 분야와 comm을 위해 좀 더 일반적인 용어를 통해 분리하는 건 바람직한 시도 같습니다.

일부러 둘을 합쳐서 auth라고 하는 거 아닌가요?

Hacker News 의견

• "Authorize"와 "Authenticate"는 중세 시대부터 사용된 훌륭한 단어임. 두 단어의 의미는 크게 변하지 않았음.
• 이 두 단어는 암호 시스템에서 중요한 차이를 가짐. 혼동을 줄이기 위해 단어를 바꾸는 것은 도움이 되지 않을 것 같음.
• "auth"라는 이름 때문에 혼란이 생긴다는 주장은 설득력이 부족함. 단어를 바꾸는 것이 문제를 해결하지 못할 것 같음.
• "authn"과 "authz"라는 약어를 사용하는 것이 좋음. 하지만 긴 단어를 사용하는 것도 괜찮음.
• "Identity"와 "Access" Management (IAM)는 표준 용어임. 개인적으로 "authnz"라는 용어를 선호함.
• "Login"은 토큰이나 키 기반 인증을 포함하지 않음. 서비스 계정은 로그인하지 않지만 인증과 권한 부여가 필요함.
• Authn과 Authz의 구분이 명확하지 않음. 때로는 명확한 용어보다 멋진 용어를 더 좋아하는 것 같음.
• IAM 시스템에서 "auth"라는 용어를 사용하는 데 문제가 없었음. 더 구체적인 표현이 필요할 때는 적절한 구를 사용하면 됨.
• "login"과 "permissions"는 시스템의 전체 의미와 복잡성을 포착하지 못함. 인증은 로그인보다 더 많은 의미를 가짐.
• 인증과 권한 부여는 밀접하게 관련되어 있음. 인증 없이 권한 부여가 불가능함.
• 로그인은 인증의 대체 용어로 적합하지 않음. 인증에는 로그인이 필요하지 않은 경우도 있음.
• "auth"는 인증과 권한 부여를 모두 의미할 수 있음. 두 개념이 자주 함께 사용되기 때문임.
• 인증과 권한 부여는 IT와 정보 보안에서 표준 용어임. 혼란을 피하려면 완전한 단어를 사용하는 것이 좋음.
• "authn"과 "authz"는 기술적인 사람들 사이에서 충분히 사용 가능함. 일반 대중에게는 "login"과 "permissions"를 사용하는 것이 좋음.
• 실생활에서도 유사한 개념이 존재함. 예를 들어, 작업 배지는 신원을 확인하고 접근 권한을 부여함.
• 권한 부여와 권한은 동일하지 않음. 권한은 특정 사용자에게 할당되지 않은 권리나 특권임.
• 권한 부여는 두 가지 의미를 가질 수 있음. 사용자가 특정 작업을 수행할 수 있는 권한을 부여하는 과정과 이를 확인하는 과정임.
• "access control"은 런타임 접근 제어를 의미할 수 있음. 애플리케이션이 사용자 인증 후 수행하는 작업임.
• "authN"과 "authZ"는 충분히 적절하고 잘 이해됨. 권한 부여는 항상 권한과 사용자의 연결과 관련됨.

Authentication 과 Authorization 둘 다 Auth 로 줄일 수 있는게 문제라면,
본문에서 언급됐던 것 같이 Authn, Authz 로 충분할거 같은데 말이죠...
이게 명확하지 않다 생각했다면, Authenty, Authory 까지 좀 더 풀어도 괜찮을거구요.

권한 시스템은 또 퍼미션 형태가 있고 acl 형태가 있고 또 그러면 어찌 구분하려고..?
뭔가 억지 같은데...

아마 비개발팀원과의 소통비용을 줄이려는 시도 아닌가 싶습니다만, 살짝 투머치네요.

Authentication 과 authorization 이 있는데 왜 굳이...