你登录微信时要输入密码,打开朋友圈能看到好友动态,但不能删除别人的朋友圈——这就是「认证」和「权限」在起作用。几乎每个应用都需要这套机制。
理解登录认证与权限控制的流程。
用户认证(Authentication)= 验证「你是谁」,通常通过账号密码、手机验证码或第三方登录完成;权限控制(Authorization)= 决定「你能做什么」,通常通过角色(Role)来管理。登录成功后,服务器会发一个 JWT Token(令牌),后续每次请求都带上它来证明身份。
认证流程演示
JWT Token 的作用是什么?
认证解决了「你是谁」的问题,但不同用户能做的事情不一样。管理员能删帖,普通用户不能——这就是 RBAC(基于角色的访问控制)。来体验一下——
角色权限演示
常见的认证方式:账号密码登录(最基础)、OAuth 第三方登录(微信/Google/GitHub 授权)、Magic Link(邮箱链接登录,免密码)。使用 BaaS 时,这些认证方式都已经内置好了,只需几行代码就能接入。
使用 BaaS 时,认证和权限功能已经内置好了。你只需告诉 AI「用 Supabase Auth 实现登录注册,设置 admin 和 user 两种角色」,就能获得完整的认证代码。
