13_authentication_basics

发表于2025-03-04|更新于2026-06-10|Backend Dev

|浏览量:

认证、授权、验证、验证（顺序注释）

后端正确的执行顺序

验证
验证（如果需要）
认证
4、授权

1. 验证

验证检查传入数据的结构是否正确。

示例：

电子邮件的格式是否正确？
密码是否至少8个字符？
是否缺少必填字段？

验证发生在请求开始时。
如果验证失败 → 请求将立即被拒绝。

2.验证

验证确认身份的所有权。

示例：

电子邮件验证链接
一次性密码验证
电话号码确认

验证通常在注册后进行。
它确保用户实际拥有电子邮件或电话。

3. 身份验证

身份验证检查用户是谁。

示例：

使用电子邮件和密码登录
JWT令牌验证

如果凭据正确 → 用户已通过身份验证。
如果不是 → 401 未经授权的响应。

4.授权

授权检查允许经过身份验证的用户执行哪些操作。

示例：

只有管理员可以删除用户
用户只能编辑自己的帖子

如果缺少权限 → 403 禁止响应。

简单理解

验证 → 数据正确吗？
验证 → 身份是否得到确认？
身份验证 → 你是谁？
授权 → 你可以做什么？

完整的请求流程示例

客户要求
→ 验证中间件
→ 认证中间件
→ 授权检查
→ 控制器逻辑
→ 回应

这是标准的安全后端请求管道。

文章作者: xhj

文章链接: https://hzhzxfs.github.io/2025/03/04/13_authentication_basics/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 xhj的博客！

相关推荐

后端路由基础知识基于 Srinously 的教程，关于后端系统如何将传入的 HTTP 请求映射到特定业务逻辑的综合指南。 🚀 概述路由是请求的“何处”。它结合了 HTTP 方法（意图）和 URL 路径（位置）来查找服务器上正确的处理程序。 🛠 核心概念1. 静态与动态路由静态路由：常量路径，如 /api/books。它们总是指向相同的资源。动态路由：包含变量的路径，称为路径参数。示例： /api/users/:id 其中 :id 可以是 123。用法：从语义上识别特定资源。 2. 查询参数主要用于 GET 请求来发送没有请求正文的元数据。语法： /api/books?page=2&limit=20 常见用例：分页（例如，page=2）过滤（例如，category=tech）排序（例如，sort=asc） 3.嵌套路由表达资源之间的关系。示例： /api/users/:userId/posts/:postId 含义：“获取属于特定用户的特定帖子。” 4. API 版本控制和弃用允许进行重大更改而不会使现有客户端应用程序崩溃。 ...

ValidationsAndTransformations

🏗️ 后端分层架构什么是分层架构？分层架构是一种后端设计模式，其中应用程序分为不同的层，每个层都有特定的职责。 1Client → Controller → Service → Repository → Database 它确保干净的代码、关注点分离和可扩展性。为什么使用它？它解决的问题将业务逻辑与 HTTP 逻辑混合控制器内的 SQL 查询难以维护且混乱的代码测试困难紧耦合好处结构简洁轻松测试可扩展的设计可维护的代码团队友好层解释1️⃣ 控制器层作用：处理 HTTP 请求。职责：验证输入验证/授权致电服务返回响应用于：仅请求级验证。 2️⃣ 服务层作用：包含业务逻辑。职责：应用业务规则协调存储库数据转换用途：业务验证（例如，“用户已存在”）。 3️⃣ 存储库层作用：数据库交互。职责：增删改查操作与DB / ORM通信用途：所有数据库访问。验证规则类型层输入验证控制器业务验证服务何时使用推荐用于： API 可扩展的后端系统生产项...

ConfigureManagement

配置管理控制应用程序行为方式的一切 - 无需触及任何逻辑代码。核心类比角色 🧠 代码大脑——逻辑 🧬 配置 DNA——行为规则 ⚙️ 结果相同的代码 + 不同的配置 = 完全不同的行为如果 DNA 很混乱 → 即使是健康的大脑也会表现出不可预测的行为。 01 — 配置实际涵盖什么配置经常被误认为只是“秘密”。事实上，它控制的更多：应用程序设置端口号日志级别（debug / info / error）连接池大小超时持续时间数据库配置主机和端口用户名/密码数据库名称连接字符串外部服务电子邮件 API（例如 SendGrid）付款（例如 Stripe）身份验证（例如职员）云存储功能标志仅为测试版用户启用功能 A/B 测试和逐步推出终止开关可立即禁用有缺陷的功能业务规则最大订单限制会话到期时间折扣门槛速率限制性能和日志记录缓存大小重试限制队列并发日志详细程度（开发中的调试，产品中的错误） 02 — 环境及其优先级相同的代码库...

CUDA学习笔记

CUDA 学习笔记学习资料：代码仓库：https://github.com/RussWong/CUDATutorial 01-02. hello world123456789101112131415#include <stdio.h>#include <cuda.h>#include <cuda_runtime.h>__global__ void hello_cuda() { // 泛指当前线程在所有block范围内的全局id unsigned int idx = blockIdx.x * blockDim.x + threadIdx.x; printf("block id = [ %d ], thread id = [ %d ] hello cuda\n", blockIdx.x, idx);}int main() { hello_cuda<<< 1, 1 >>>(); cudaDeviceSynchronize();...

10_backed_cors_learning

CORS 和后端网络 – Deep Notes 1. 什么是 CORS？CORS 代表跨域资源共享。它是一种浏览器安全机制，限制前端应用程序向在不同源上运行的后端发出请求。 “起源”包括：协议（http/https）域名 (localhost / example.com) 端口 (3000 / 5173) 如果其中任何一个不同→它将成为跨域请求。 2. 为什么会出现CORS错误？示例：前端运行于： 1http://localhost:5173 后端运行于： 1http://localhost:3000 由于端口不同，浏览器会阻止请求。错误示例： 1Access to fetch has been blocked by CORS policy 重要：CORS 由浏览器强制执行，而不是由 Node.js 强制执行。 3. 如何修复 Express 中的 CORS安装 CORS 包： 1npm install cors 全局启用： 12const cors = require("cors");app.use(cors(...