A Autenticação define quais menus e funcionalidades o parceiro poderá acessar; autorização confirma a identidade do usuário por meio de login, token ou certificado.
B Autenticação responde “quem é você?” (valida credenciais/identidade) e autorização responde “o que você pode fazer?” (define permissões e recursos acessíveis).
C Autenticação é dispensável quando o acesso ocorre via HTTPS, pois a criptografia do canal já garante a identidade do parceiro.
D Autorização é realizada antes dos controles de borda (firewall, WAF, proxy reverso), pois primeiro se define o que o usuário pode fazer e depois se filtra o tráfego.
E Autorização consiste em estabelecer o canal criptografado (HTTPS/TLS), enquanto autenticação consiste em registrar logs e criar sessão com expiração.