认证和授权

在业务系统的开发当中，认证（Authentication）与授权（Authorization）是十分重要的概念。无论是开发内部业务应用系统，或是为合作伙伴构建业务入口，还是通过开放一系列API接口让外部开发者在自有资源上开发应用系统，我们都需要一个可靠的认证和授权支持。

认证与授权在身份管理中担任的职责

认证是一个证明“我是谁”的过程。在现实生活中，我们每天都会进行“认证”的操作：在购买车票时出示身份证、在乘坐国际航班时提供护照、在交警例行检查中出示驾驶证等等。此时，身份证、护照、驾驶证起到了证明身份的作用。

在互联网中，我们常常通过输入帐号密码来证明“我是谁”，此时，这些帐号密码的作用就像是身份证，证明了我们在网络平台的身份。这就是互联网业务系统中的认证。

认证过程仅仅解决了某一实体的身份证明的过程，向业务系统回答了“我是谁”，但是并没有回答“我被允许做什么？”的问题，而这正是授权的职责。当某一实体被认证进入一个业务系统的时候，业务系统需要知道这一认证过的实体是否能够接入、查看或者操作某些项目。