03-09 认证与授权:你是谁,你能做什么
03-09 认证与授权 是安全和业务权限的地基。认证回答“你是谁”,授权回答“你能做什么”。
一、它解决什么
它解决的是身份和权限问题。没有认证,系统不知道来的人是谁;没有授权,知道是谁也不知道他能访问哪些资源。
二、一个比喻
认证像进公司刷工牌,授权像工牌能开哪些门。老板、财务、访客开的门不一样。
三、放到系统里看
常见实现会用 08-06 Token与Session、Cookie、JWT、OAuth,后端在 03-02 API接口 层或网关层校验。
四、常见坑 / 学习抓手
常见坑是只登录不鉴权,导致普通用户能访问管理员接口。权限要在后端强校验。
一句话总结
认证确认身份,授权控制能力,两者缺一不可。