Descripción: El proceso de autenticación siempre se ejecuta al inicio de la aplicación, antes de que se produzcan las comprobaciones de permisos y limitación, y antes de que se permita que continúe cualquier otro código. Diferentes sistemas pueden requerir diferentes tipos de credenciales para determinar la identidad de un usuario. La credencial a menudo toma la forma de una contraseña, que es un secreto y conocido solo por el individuo y el sistema. Las tres categorías en las que se puede autenticar a alguien son: algo que el usuario sabe, algo que el usuario es y algo que el usuario tiene.
El proceso de autenticación se puede describir en dos fases distintas: identificación y autenticación real. La fase de identificación proporciona una identidad de usuario al sistema de seguridad. Esta identidad se proporciona en forma de ID de usuario. El sistema de seguridad buscará todos los objetos abstractos que conoce y encontrará el específico que el usuario real está aplicando actualmente. Una vez hecho esto, el usuario ha sido identificado. El hecho de que el usuario afirme no significa necesariamente que esto sea cierto. Un usuario real puede asignarse a otro objeto de usuario abstracto en el sistema y, por lo tanto, se le otorgan derechos y permisos al usuario y el usuario debe proporcionar evidencia para demostrar su identidad al sistema. El proceso de determinar la identidad del usuario reclamado mediante la verificación de la evidencia proporcionada por el usuario se denomina autenticación y la evidencia proporcionada por el usuario durante el proceso de autenticación se denomina credencial.