认证与授权
认证(Authentication)
用户认证,就是验证此用户的身份,解决的是“我是谁”的问题。也就是从用户请求信息中获取用户信息的过程。
在登录时,输入用户名密码,系统判断用户名与密码是否在已有的用户内并给出结果反馈,这个过程就是用户认证。
用户名+密码登录,手机、邮箱验证码,第三方登录等都属于用户认证的一种。
授权(Authorization)
用户授权,就是授予用户权限,使其能够进行后续的某些访问和操作,解决的是“我能干哪些事”的问题。也就是从得到用户信息到授予用户权限的过程。
每天乘电梯刷卡,刷卡的过程就是授权,授予了我们访问某某层的权限。就相当于是某个人或者某个机构赋予某人干某事的权限的过程。
| 角度 | Authentication | Authorization |
|---|---|---|
| 作用 | 确认用户的身份,以授予对系统的访问权限 | 授权用户以访问资源的权限 |
| 过程 | 验证用户凭据以获得用户的访问权限 | 验证用户是否有权访问 |
| 范围 | 判断用户是否伪称 | 判断用户可否访问内容 |
| 时间 | 始终是第一步 | 授权在认证成功后完成 |
