03-09 认证与授权:你是谁,你能做什么

03-09 认证与授权 是安全和业务权限的地基。认证回答“你是谁”,授权回答“你能做什么”。


一、它解决什么

它解决的是身份和权限问题。没有认证,系统不知道来的人是谁;没有授权,知道是谁也不知道他能访问哪些资源。

二、一个比喻

认证像进公司刷工牌,授权像工牌能开哪些门。老板、财务、访客开的门不一样。

三、放到系统里看

常见实现会用 08-06 Token与Session、Cookie、JWT、OAuth,后端在 03-02 API接口 层或网关层校验。

四、常见坑 / 学习抓手

常见坑是只登录不鉴权,导致普通用户能访问管理员接口。权限要在后端强校验。

一句话总结

认证确认身份,授权控制能力,两者缺一不可。


关联笔记