17370845950

身份认证确认用户身份，授权控制用户权限。通过用户名密码或第三方登录认证后，使用JWT存储用户信息并携带Token进行后续请求；前端根据角色动态展示UI，但关键权限校验须在后端完成。建议使用HttpOnly Cookie存储Token、设置合理过期时间与refresh token机制、传输全程启用HTTPS，避免敏感信息写入JWT，确保系统安全。

身份认证与授权是Web应用安全的核心部分，尤其在使用JavaScript开发前后端应用时尤为重要。身份认证（Authentication）确认用户是谁，授权（Authorization）决定用户能做什么。两者结合，确保系统资源被合法访问。

身份认证：确认用户身份

身份认证的目的是验证用户是否是其所声称的人。常见方式包括：

• 用户名密码登录：最基础的方式，前端通过表单收集凭证，发送到后端验证。
• 第三方登录：如Google、GitHub、微信等OAuth服务，减少用户注册成本。
• JWT（JSON Web Token）：登录成功后，服务器生成一个包含用户信息的加密Token，返回给客户端存储（通常放在localStorage或cookie中），后续请求携带该Token进行身份识别。

在JavaScript中，登录流程通常如下：

fetch('/api/login', {
  method: 'POST',
  headers: { 'Content-Type': 'application/json' },
  body: JSON.stringify({ username, password })
})
.then(res => res.json())
.then(data => {
  if (data.token) {
    localStorage.setItem('token', data.token);
    // 跳转或更新UI
  }
});

之后每次请求都需附带Token：

headers: { 
  'Authorization': `Bearer ${localStorage.getItem('token')}` 
}

授权：控制用户权限

授权发生在认证之后，用于判断已认证用户是否有权执行某项操作。常见策略有：

• 基于角色的访问控制（RBAC）：用户拥有角色（如admin、user），不同角色可访问不同接口或页面。
• 基于权限的控制：更细粒度，直接分配“删除文章”、“查看报表”等具体权限。

JWT中可包含用户角色或权限信息：

{
  "userId": "123",
  "role": "admin",
  "exp": 1735689600
}

前端可根据角色动态控制UI显示：

if (userRole === 'admin') {
  showDeleteButton();
}

但注意：前端控制仅为体验优化，所有关键权限校验必须在后端进行。

安全建议与最佳实践

• 避免将敏感信息存入JWT payload：JWT仅签名不加密（除非使用JWE），内容可被解码。
• 使用HttpOnly Cookie存储Token：比localStorage更防XSS攻击。
• 设置合理的Token过期时间：配合refresh token机制提升安全性与用户体验。
• 后端每次关键操作都应验证权限：不能依赖前端隐藏按钮就认为安全。
• 使用HTTPS：防止Token在传输过程中被窃取。

基本上就这些。认证和授权看似复杂，但核心逻辑清晰：先确认你是谁，再看你能不能做。用好JWT、合理设计角色权限，再配合前后端协同防护，就能构建出安全可靠的系统。