认证（Authentication）和授权（Authorization）总结

身份认证是验证你的身份，一旦通过验证，即启用授权。你所拥有的身份可以进行哪些操作都是由授权规定。例如，任何银行客户都可以创建一个账户（如用户名），并使用该账户登录该银行的网上服务，但银行的授权政策必须确保只有你有权限访问自己的网上个人账户，当然前提是你得先通过身份认证。

简单来说就是：认证回答「你是谁」的问题，授权规定「你能干什么」。

认证Authentication

认证意味着证实某个用户是他所声明的那个人。

1. Username and Password Credentials
2. Multi-Factor Authentication
3. Token Based Credentials a Better Alternative to Username Password Credentials

Federated Identity

• Single Sign-On Single Experience
  • WS-Security With SAML Assertions
  • OpenID Connect with JWT ID Tokens
• Single Sign-On Multi-Experience
  • SAML
  • CAS

授权Authorization

授权意味决定一个身份确定的用户能够访问那些资源。
本质上可以授权可以理解为是访问控制，是系统对访问某些数据或执行某个操作的权限的控制。

• Role-Based Access Control
• Attribute-Based Access Control
• Delegated Access Control with OAuth 2.0