Постоянно путаю аутентификацию и авторизацию. Многие, судя по разговорам, вообще не знают, в чем разница. Запишу, как понимаю, если что - правьте :)
Итак, аутентификация (authentication) - проверка пользователя (или другого объекта) на подлинность. Удостоверять свою подлинность пользователь может разными способами, как и сверка с хранимыми данными на соответствие может происходить тоже разными способами. Например, на форуме, Вася вводит имя пользователя и пароль. Нажимает кнопку и данные передаются ко мне на сервер. Данные сверяются с хранимой солью, если соль совпадает, то пароль такой же, как был введен Васей раньше и, значит, Вася является тем самым Васей, что регистрировался на форуме. Процесс аутентификации завершен успешно. Если вы пришли в гости и из-за закрытой двери вас спросили: "кто там?", а вы сказали "Вася", то спрашивающий сравнивает названное имя и голос с тем, что хранится у него в голове и понимает, действительно ли это Вася или нет. Это тоже аутентификация. Общая процедура, дающая ответ на вопрос: "кто ты?" и подтверждающая его.
После того, как пользователь обозначил себя (заход гостем - тоже определение себя), он может приступить к авторизации (authorization), процессу, когда определяются права пользователя. Например, на форуме, после того, как вы зашли и еще не аутентифицировали себя, вы авторизуетесь с помощью группы "Гость". Обладаете правами и предъявляете их во время выполнения каких-то действий. Система знает, что вы гость и разрешает, либо запрещает что-то делать. Попытались написать сообщение - получили фигу. Процесс авторизации не удался. Ввели имя пользователя и пароль, прошли аутентификацию, система знает, что вы - Вася, пользователь. Попробовали написать - разрешило, авторизация завершена успешно. Авторизация - общая процедура, отвечающая на вопрос "что можно пользователю?".