身份验证是验证所宣布的身份的过程。

例如,用户名/密码

通常接下来是授权，也就是批准你可以这样做或那样做。

如权限

身份验证是验证所宣布的身份的过程。

例如,用户名/密码

通常接下来是授权，也就是批准你可以这样做或那样做。

如权限

更详细的答案请参考:https://www.okta.com/identity-101/authentication-vs-authorization/

身份验证是验证您的登录用户名和密码的过程。

授权是验证您是否可以访问某些内容的过程。

认证是验证实体身份的过程。例如

Webserver每次都要求用户输入登录名/密码，以验证创建该帐户的用户是否是现在正在访问该帐户的用户。

授权是允许每个实体获得所需数量的服务/资源的过程。例如

On blogging site (eg. medium.com) users can create an account and write a post and publish. And users can read all posts published by others as well. Here the blogging server first authenticates the user with the user login credentials (login/password) and then it authorizes to read all others post and write/modify the post only created by the user. Here authorization is used by the server to limit which all post each user can modify. Users can create a free google account by which google server provides free services like mail, calendar, chat, drives etc. But the storage provided for all these services to free users are 15GB (as of now). User can pay a monthly or annual fee to google server to increase the storage space. Here google server authorizes every authenticated user to limit the amount of resource usage.

在当今的互联网中，授权被广泛用于对客户端施加访问限制。

身份验证是通过获取某种凭据(例如用户名密码组合)来验证用户身份的过程，并使用这些凭据来验证用户的身份。

授权是通过检查用户是否具有系统访问权限，从而允许经过认证的用户访问其资源的过程。您可以通过向已验证的用户授予或拒绝特定的权限来控制访问权限。因此，如果身份验证成功，则启动授权过程。认证过程始终进行到授权过程。

用于授权的JWT: JWT是一种基于JSON的安全令牌格式，它基本上是一个base64 url编码的字符串，用于传输 保护两个应用程序之间的内容。它们用于保护Web api中的请求数据。这些都包含在授权HTTP报头中，作为承载身份验证方案的一部分。

OAuth代表授权:OAuth不是API或服务:它是授权的开放标准，任何人都可以实现它。有了OAuth，你可以用你的谷歌、Facebook、Twitter或微软账户登录第三方网站，而不需要提供密码。这样你就可以避免在互联网上使用的每个web应用程序上创建帐户和记住密码。