Estoy seguro que con la identidad no hay mucho problema, sino que es con la autenticación y la autorización en donde existe un pequeño conflicto ya que al igual que la internacionalización y localización, suelen usarse indistintamente, haciendo que el que hable de ellos caiga en un pequeño error.

Identidad

Sucede cuando yo digo, soy Antonio Feregrino alumno del Instituto Politécnico Nacional. O cuando tu vas a la página de Gmail y escribes tu correo electrónico. Es decir, tanto yo al decir mi nombre como tu al poner tu correo estamos afirmando que poseemos cierta identidad. Corresponderá al sistema (o a la escuela) confirmar la veracidad de esta afirmación mediante la autenticación.

Autenticación

La autenticación es un proceso mediante el cual un usuario (humano o no humano) confirma que le pertenece determinada identidad en un sistema.

Siguiendo el ejemplo de tu correo electrónico, para autenticarte bastaría con que escribieras tu contraseña (a menos que estés utilizando autenticación de dos pasos) para verificar que el correo te pertenece. Yo, por otro lado, tengo una credencial que me acredita como estudiante del Instituto Politécnico Nacional, entonces cuando dentro del campus alguien me solicita identificarme, basta con mostrar esta credencial para estar "autenticado".

Sin embargo, esta era solo mi credencial de acceso a la escuela, para acceder a otros servicios de mi escuela como el préstamo de libros de la biblioteca o la alberca necesitaba otro tipo de credenciales. Es entonces cuando la autorización entra en juego.

Autorización

La autorización es el proceso mediante el cual se establece a qué recursos un usuario tiene permitido acceder. Para esto es cuando entra en juego la autorización, yo podría tener una credencial que me autorice a sacar libros de la biblioteca y otra que me permita hacer uso de la alberca.

Es decir, no porque yo esté autenticado voy a tener acceso a todos los recursos de la escuela. Usualmente el nivel de acceso se controla mediante la asignación de roles, perfiles o facultades, para facilitar así la tarea a los encargados de administrar el sistema.

La raíz de la confusión

Creo que mucha de la confusión de estos términos proviene de que estamos muy familiarizados con sistemas que pareciera que no ejecutan un proceso de autorización, como por ejemplo el de tu correo electrónico personal, una vez que consigues entrar puedes hacer y deshacer a tu gusto. Sin embargo, sí ocurre la autorización, solo que para tu fortuna, estás autorizado para hacer lo que quieras.

Ah, y no es necesario que exista autenticación para que exista autorización. Piensa en la mayoría de tiendas en línea: Estas no te piden que inicies sesión para ver los productos que ofrecen, podríamos decir que sin autenticarte únicamente tienes autorización de solo lectura.

En resumen: Identidad, Autenticación y Autorización son conceptos distintos, pero que juntos forman una parte importantísima de la seguridad en una aplicación.