谈谈系统认证 (Authentication) 和授权 (Aut

这是一个绝大多数人都会混淆的问题。

说简单点就是：

• 认证 (Authentication)： who，你是谁
• 授权 (Authorization)： what，你有权限干什么

稍微正式点的说法就是：

• Authentication（认证） 是验证当前身份的凭据（例如用户名/用户ID和密码），通过这个凭据，系统得以知道你就是你，也就是说系统存在你这个用户。所以，Authentication 被称为身份/用户验证。
• Authorization（授权） 发生在 Authentication（认证）之后。授权，光看意思大家应该就明白，它主要掌管我们访问系统的权限。比如有些特定资源只能由具有特定权限的人才能访问，比如 admin，有些对系统的敏感资源操作，比如删除、添加、更新，通常特定人才具有。

在系统中，这两个一般是被结合在一起使用的，目的就是为了保护系统的安全性。