Authorization (AuthZ) is het proces waarbij een systeem bepaalt welke rechten, acties en toegang een geauthenticeerde gebruiker heeft tot specifieke bronnen, data of functionaliteiten. Na succesvolle authentication controleert authorization of de ingelogde gebruiker daadwerkelijk mag doen wat hij of zij probeert. Denk aan een medewerker die wel facturen mag inzien maar geen budgetten mag wijzigen, of een klant die alleen de eigen orderhistorie mag bekijken. Voor MKB-bedrijven met webapplicaties, portalen of API-koppelingen is authorization de sleutel tot veilige en gestructureerde toegang.
Hoe authorization werkt in de praktijk
Authorization vindt plaats ná authentication. Eerst bewijst een gebruiker zijn identiteit (met wachtwoord, token of Single Sign-On). Daarna checkt het systeem welke rol of rechten bij die identiteit horen. Dat gebeurt meestal via rollen (zoals 'admin', 'redacteur', 'klant') of via gedetailleerde permissies per actie ('lezen', 'schrijven', 'verwijderen'). Een webshop geeft bijvoorbeeld een klant toegang tot zijn eigen bestellingen, maar niet tot die van anderen. Een CMS laat een redacteur artikelen bewerken maar geen gebruikers verwijderen. Deze logica wordt vaak opgeslagen in een database of beheerd via een Identity Provider. Bij API's gebeurt authorization vaak via tokens zoals JSON Web Tokens, waarin claims staan over wat de gebruiker mag. De W3C publiceert richtlijnen voor veilige toegangscontrole in webapplicaties.
Waarom authorization ontstond en waarom het nu telt
Vroeger hadden de meeste systemen één inlogniveau: je was binnen of buiten. Zodra organisaties complexere workflows kregen en meerdere gebruikersgroepen tegelijk bedienden, ontstond de behoefte aan gedifferentieerde toegang. Een dealer mag prijzen zien, een eindklant niet. Een accountant mag rapporten exporteren, een stagiair niet. Authorization maakt dat mogelijk zonder voor elke gebruiker een apart systeem te bouwen. Vandaag de dag is het onmisbaar voor compliance met de AVG: je mag alleen persoonsgegevens tonen aan wie daar recht op heeft. Ook bij API-koppelingen tussen systemen is authorization cruciaal om te voorkomen dat externe partijen meer data ophalen dan afgesproken.
Wat authorization oplevert voor MKB-bedrijven
Met een doordachte authorization-strategie voorkom je datalekken, bouw je vertrouwen bij klanten en voldoe je aan wettelijke eisen. Een groothandel kan bijvoorbeeld dealers toegang geven tot netto-prijzen terwijl particulieren bruto-prijzen zien, allemaal binnen één platform. Een softwarebedrijf kan klanten alleen toegang geven tot hun eigen omgeving, zonder dat andere klanten data kunnen inzien. Bij webontwikkeling en API-integraties bouwt Monkey Vision authorization in vanaf de basis, zodat je later niet hoeft te herschrijven. Goed geregelde autorisatie bespaart support-tickets, verkleint beveiligingsrisico's en maakt schaalbaarheid mogelijk zonder dat je de controle verliest.