为什么要先认证，后授权？

认证和授权是安全认证中的两个基本步骤，它们的先后顺序是有意义的。认证是验证用户身份的过程，即确认用户是否为自己所声称的用户。授权是验证用户是否有权限访问特定资源的过程。因此，认证和授权是紧密相关的步骤，必须按照正确的顺序进行。

首先进行认证，目的是确认用户的身份，以便后续的授权过程可以基于正确的用户信息进行。如果没有进行认证，那么授权就没有意义，因为不知道授权给谁。其次，认证可以防止恶意用户通过伪造身份来访问资源。最后，认证可以为后续的审计和监管提供依据。

因此，为了确保安全性，必须先进行认证，然后才能进行授权。