Web服务器与浏览器之间的认证流程没有规定的步骤,根据不同的认证模式及鉴权方式可能会有不同的执行步骤。下图用一个最简单的流程了解整个认证过程是如何工作的,首先浏览器向服务器发起请求,然后服务器向浏览器质问用户名及密码,浏览器带上用户名及密码重新请求,服务器根据用户名获取相应角色并判断是否有权限访问该资源,最后通过认证后返回受保护资源。
在这整个过程中可以分为客户端与服务端交互、服务端权限验证两部分,客户端与服务端的交互其实就是认证模式,这是客户端与服务端之间的约定,存在多种认证模式。服务端权限验证则是将资源与角色映射起来,根据保存的用户信息判断客户端用户是否有权限访问。
