后端面试题：认证、授权与 API 安全

1. 认证和授权的区别是什么？

• 认证（Authentication）验证身份。
• 授权（Authorization）决定权限。
• 两者常结合使用，认证先于授权。

2. JWT 的工作原理是什么？

• JWT 由 Header、Payload、Signature 组成。
• 服务端签名后返回，客户端携带令牌访问资源。
• 无状态，服务端可通过签名验证有效性。

3. 为什么不建议在浏览器中保留敏感字段？

• 浏览器存储可能被 XSS 窃取。
• 应尽量把敏感信息保存在 HttpOnly Cookie 或服务器会话。

4. OAuth 2.0 常见授权流程有哪些？

• Authorization Code：授权码模式，适用于服务端应用。
• Implicit、Client Credentials、Resource Owner Password Credentials：各适用不同场景。
• Authorization Code with PKCE 适用于单页应用。

5. 如何设计 API 防爬虫与限流方案？

• 使用 API Key、签名、限流策略。
• 对异常请求进行封禁或增加验证。

6. CSRF 保护有哪些方式？

• 使用 CSRF Token。
• 设置 SameSite Cookie。
• 通过双重提交 Cookie 或 Referer 校验。

7. 你如何保证接口的幂等性？

• 对创建操作使用唯一请求 ID。
• 对更新操作采用幂等 PUT 或 PATCH 行为。

8. API 版本控制有哪些常见策略？

• URL 版本号：/api/v1/。
• Header 版本号。
• 请求参数版本号。
• 需要兼顾兼容性与演进能力。