后端面试题：认证与授权

1. 认证与授权的区别是什么？

• 认证（Authentication）：确认用户身份。
• 授权（Authorization）：确认用户权限。

2. 常见认证方式有哪些？

• Session + Cookie。
• JWT。
• OAuth2。
• OpenID Connect。

3. 什么是 JWT？

• JSON Web Token。
• 包含头部、载荷、签名。
• 适用于无状态认证。

4. OAuth2 有哪些授权模式？

• Authorization Code。
• Implicit。
• Resource Owner Password Credentials。
• Client Credentials。

5. 如何保护认证流程？

• 使用 HTTPS。
• 防止 CSRF。
• 限制登录尝试次数。

6. 授权控制有哪些实现方式？

• 基于角色访问控制（RBAC）。
• 基于属性访问控制（ABAC）。
• 基于策略访问控制（PBAC）。