Аутентификация: проверка личности пользователя.
Для аутентификации пользователь предоставляет учетную информацию, такую как имя пользователя и пароль, и, если учетные данные действительны, пользователь получает токен, который может быть отправлен с будущими запросами в качестве подтверждения его аутентификации.
Авторизация: определение того, что пользователю разрешено делать.
С точки зрения пользователя, успешная авторизация происходит, когда он может отправить запрос на доступ к системе и что-то сделать (например, загрузить файл в систему), и это работает.
Аутентификация только подтверждает личность - она подтверждает, что пользователь является тем, кем он себя называет. Авторизация определяет, к каким ресурсам может получить доступ проверенный пользователь.