安全与权限Login
登录
让系统认出“你就是上次那个人”。输账号密码 / 发验证码 / 扫码 / 点“用微信登录”——都是登录。
注册SessionJWT鉴权
查看词条详情 →安全与权限JSON Web Token
JWT
登录成功后服务器发给你的一张加密通行证。之后每次请求都带着它,服务器一看就知道你是谁。
登录Session鉴权
查看词条详情 →安全与权限Session
Session
服务器在自己数据库里记一条“这个人登录了”,然后给你一把小钥匙(session id)。之后你带钥匙来,服务器一查就认识你。
登录JWT鉴权
查看词条详情 →安全与权限Authentication
鉴权
验证“你是你”的过程。输密码、扫指纹、收短信验证码——都是在证明你是账号的主人。
登录授权JWT
查看词条详情 →安全与权限Authorization
授权
验证“你能做什么”的过程。登录了 ≠ 什么都能做。普通用户能评论,不能删帖;编辑能发布文章,不能改支付配置。
鉴权角色权限
查看词条详情 →安全与权限Role
角色
给用户打的身份标签。一个用户是“管理员”还是“普通用户”还是“访客”,决定了他能做什么。
权限授权RBAC
查看词条详情 →安全与权限Permission
权限
一条条具体的动作许可。“能删帖子”“能改价格”“能看用户手机号”——每一条都是一个权限。
角色授权RBAC
查看词条详情 →安全与权限RBAC
基于角色的权限控制
不给每个用户单独配权限,而是先定义角色(管理员、编辑、访客),把权限绑到角色上,再把角色发给用户。省事。
角色权限授权
查看词条详情 →安全与权限OAuth
OAuth
让用户用已有的微信 / Google / GitHub 账号登录你的产品。用户不用再记一套密码,你也不用自己管密码。
登录授权用户系统
查看词条详情 →安全与权限Rate Limiting
限流
限制一个用户 / 一个 IP 一分钟最多能调多少次。防止有人暴力破解密码、刷接口、爬你数据。
安全风控接口
查看词条详情 →