以前AAAについて書いたけど、もう一度。

認証と承認（認可）をよく混同して話してしまうんだけど、ここらへん整理。

• 認証 「誰か」を特定する。だいたい最初の１回。
• 承認 「何ができるか」を特定する。よくチェックされる。

システムのログインってこれを同時にやってる。これを研究機関に例えてみると

    警備員：「君、ここは関係者しか入れないよ、身分証を出しなさい。」
    男：「ここの研究員の山田です。これ、IDカード。」
    警備員：「確かに本人ですね。通りなさい。」

本人かどうか確認して（認証）、入る許可をしている（承認）。 認証が通っても承認されなければサービスが使えない（垢BANがまさにこれ）。

それで、アカウント（ID）を管理するシステムと、認証、承認を管理するシステムの３つが必要になる。 あとは、ログ採ったりユーザプロファイルを管理するシステム。

ブラウザゲームにしても社内システムにしても、どんなところでも広く使われるものでしょう。 共通的なシステムだと思うんだけど、コレっていうフレームワークがあるのもあまり聞いたことが無いんですけど（知らないだけか）。