这是一个绝大多数人都会混淆的问题。
说简单点就是:
- 认证 (Authentication): who,你是谁
- 授权 (Authorization): what,你有权限干什么
稍微正式点的说法就是:
- Authentication(认证) 是验证当前身份的凭据(例如用户名/用户ID和密码),通过这个凭据,系统得以知道你就是你,也就是说系统存在你这个用户。所以,Authentication 被称为身份/用户验证。
- Authorization(授权) 发生在 Authentication(认证)之后。授权,光看意思大家应该就明白,它主要掌管我们访问系统的权限。比如有些特定资源只能由具有特定权限的人才能访问,比如 admin,有些对系统的敏感资源操作,比如删除、添加、更新,通常特定人才具有。
在系统中,这两个一般是被结合在一起使用的,目的就是为了保护系统的安全性。
网友评论