认证系统
认证系统
认证 (authentication) 和授权 (authorization)两者有时会关联的很紧密,容易搞不清楚两者的区别和联系。
认证和授权
认证: 告诉你要访问的应用服务,你就是你声明的用户(username/ID)的确认(输入口令password)的过程。
授权: 任何访问应用服务的人,都有一套允许访问哪些服务的规则。如管理员允许删除论坛网站的帖子。普通用户不会允许删除,但是能浏览。也就是管理员授权有删除数据库相关资源能力,普通用户只有查询相关数据库资源的能力。
两者具有正交性和独立性。两者不依赖。但两者都是为了安全设计的。
接下来我会用两大章来解释认证和授权的具体的细节知识。随着时代的发展,认证方式也越来越暴露不同程度的弊端和安全隐患。为了更好的用户体验和安全,人们也随之发展了不同的认证方案应对。接下来我会介绍从最原始最简单的认证方案开始一直到当前主流的认证方案,让读者有一个基本认证方案的全局认识。
浙公网安备 33010602011771号