上一篇我们讲了认证——解决"你是谁"的问题。用户登录后拿到 JWT,后续请求带上 token,服务端验证通过就知道你是谁。
但知道你是谁还不够。一个普通用户和一个管理员,能做的事是不一样的。鉴权就是在认证之后,检查"你有没有权限做这件事"。
认证回答的是身份问题,鉴权回答的是权限问题。两者的顺序不能反——你得先知道这个人是谁,才能去查他有什么权限。