Engineer Interview Hub
安全性 基礎

身份驗證(Authentication)vs 授權(Authorization)

AI 練習作答

請區分身份驗證與授權的概念,並說明常見實作方式。

概念區分

Authentication(認證):確認「你是誰」。例如輸入帳密、Google OAuth 登入。

Authorization(授權):確認「你能做什麼」。例如管理員才能刪除文章。

常見認證方式

  • Session/Cookie:服務器維護 Session,Cookie 存 Session ID。
  • JWT:無狀態 Token,服務器不需儲存狀態。
  • OAuth 2.0:授權第三方應用存取資源,常用於社交登入。

常見授權模型

RBAC(Role-Based Access Control):依據角色(role)授予權限,如 admin、editor、viewer。

ABAC(Attribute-Based Access Control):依據屬性(用戶、資源、環境)動態決定權限,更靈活但複雜。

最佳實踐

先認證再授權,敏感操作再次確認身份,最小權限原則。

✦ AI 模擬面試

輸入你的答案,AI 即時分析精準度與改進空間

登入後即可使用 AI 評分

← 上一題

HTTPS 與 TLS 加密原理

下一題 →

資料庫查詢優化策略