Authentication是一个验证的过程:

系统中的用户身份(用户名、登录名、电话号码、电子邮件……)，通过提供证明(密钥、生物识别、短信……)作为扩展的多因素身份验证。 使用数字签名检查电子邮件[关于] 校验和

授权是身份验证之后的下一步。它是关于资源的权限/角色/特权。OAuth(开放授权)是授权的一个例子

我试图用最简单的语言来解释这一点

1)身份验证意味着“你是你所说的那个人吗?”

2)授权意味着“你能做你想做的事吗?”

这在下图中也有描述。

我试图用最好的术语来解释它，并创造了一个相同的图像。

正如身份验证vs授权所言:

Authentication is the mechanism whereby systems may securely identify their users. Authentication systems provide an answers to the questions: Who is the user? Is the user really who he/she represents himself to be? Authorization, by contrast, is the mechanism by which a system determines what level of access a particular authenticated user should have to secured resources controlled by the system. For example, a database management system might be designed so as to provide certain specified individuals with the ability to retrieve information from a database but not the ability to change data stored in the datbase, while giving other individuals the ability to change data. Authorization systems provide answers to the questions: Is user X authorized to access resource R? Is user X authorized to perform operation P? Is user X authorized to perform operation P on resource R?

参见:

Wikipedia上的身份验证与授权

身份验证是确定某人确实是他们所声称的那个人的过程。 授权是指决定谁可以做什么的规则。例如，亚当可能被授权创建和删除数据库， 而Usama只被授权阅读。

这两个概念是完全正交和独立的，但它们都是安全设计的核心，如果其中任何一个概念都不正确，就会导致妥协。

就web应用程序而言，简单地说，身份验证是指你检查登录凭证，看看你是否识别出用户已登录，而授权是指你在访问控制中查看是否允许用户查看、编辑、删除或创建内容。

身份验证是通过获取某种凭据(例如用户名密码组合)来验证用户身份的过程，并使用这些凭据来验证用户的身份。

授权是通过检查用户是否具有系统访问权限，从而允许经过认证的用户访问其资源的过程。您可以通过向已验证的用户授予或拒绝特定的权限来控制访问权限。因此，如果身份验证成功，则启动授权过程。认证过程始终进行到授权过程。

用于授权的JWT: JWT是一种基于JSON的安全令牌格式，它基本上是一个base64 url编码的字符串，用于传输 保护两个应用程序之间的内容。它们用于保护Web api中的请求数据。这些都包含在授权HTTP报头中，作为承载身份验证方案的一部分。

OAuth代表授权:OAuth不是API或服务:它是授权的开放标准，任何人都可以实现它。有了OAuth，你可以用你的谷歌、Facebook、Twitter或微软账户登录第三方网站，而不需要提供密码。这样你就可以避免在互联网上使用的每个web应用程序上创建帐户和记住密码。

补充@Kerrek的答案;

身份验证为通用形式(所有员工都可以登录机器)

授权是专用形式(但管理员只能在机器上安装/卸载应用程序)