Web认证与授权 Web认证是验证用户身份的过程。当用户访问需要登录的网站时，系统通过用户名密码、生物识别或第三方账号等方式确认用户身份。例如输入正确的邮箱和密码后，系统通过数据库比对确认身份真实性，此时完成的是认证环节。 认证成功后进入授权阶段。授权决定该身份允许访问哪些资源或执行哪些操作。系统根据用户角色（如管理员、普通用户）或权限列表进行控制。例如论坛用户通过认证后，管理员可删除帖子（高权限），普通用户仅能回复帖子（低权限）。 认证与授权在流程上紧密衔接。用户首先通过认证建立身份凭证（如Session或JWT令牌），后续请求携带该凭证，系统据此完成授权决策。例如银行APP登录后，系统通过令牌识别用户身份，并授权其查询自身账户而非他人账户。 实际应用中常采用标准协议实现完整流程。OAuth 2.0协议通过授权服务器分离认证与授权：用户先在认证平台（如微信）完成身份验证，资源服务器（如第三方网站）根据返回的访问令牌授权API调用权限，实现安全的能力委托。