4.4.1 认证与授权 (AuthN/AuthZ)

文档摘要

4.4.1 认证与授权 (AuthN/AuthZ) 在现代分布式系统中，认证（Authentication）与授权（Authorization）早已不是“加个登录页、查个数据库”的简单工程任务。它们是系统安全的第一道闸门，也是最后一道防线——当攻击者绕过网络层防护、穿透API网关、甚至劫持合法会话时，AuthN/AuthZ 仍是唯一能决定“这个请求到底能不能碰那行数据”的逻辑守门人。我们常把它们并称 AuthN/AuthZ，但二者在技术实现上却如阴阳两极：认证回答“你是谁？”，靠的是密码学验证与身份断言；授权回答“你能做什么？”，依赖的是策略建模、上下文评估与实时决策。若把系统比作一座城池，认证是查验腰牌的城门校尉，而授权是手持兵符、可随时否决任何调令的枢密院。