一直比较困扰这两个单词,最近有了一些新的感受 这是一对经常会见到的单词。
- Authentication(鉴权),web端一般是需要用户名和密码,OAUTH server会验证用户输入的用户名或密码是否正确,正确是返回access_token & refresh_token,这一般就是我们和后台交互所使用到的具体token。
- Authorization(授权),这个步骤是用来知道用户在我们系统中是什么角色,从而进行一定的权限控制。 通常这个步骤和鉴权一起发生,一般在步骤1中,用户输入用户名和密码,server除了返回token以外,一般会返回一个用户的角色。但是也可能为了解藕,我们在步骤1中拿到token以后,还需要与另一个service进行交互,拿到用户真实的角色。
ps: 一句不重要的话(一般步骤2也可以称为Entitlement Check)
