身份认证

身份认证（Auth）指的是认证（authentication）和授权（authorization），这是构建 Web 应用程序时的常见需求。认证是指根据用户提供的凭证验证用户的身份。授权是指确定用户被允许执行哪些操作。

会话（Sessions） vs 令牌（tokens）

在用户提供了用户名和密码等凭证后，我们希望允许他们使用应用程序，而无需在后续请求中再次提供凭证。用户在随后的请求中通常通过会话标识符（session identifier）或签名令牌（如 JSON Web Token，JWT）进行认证。

会话 ID 最常被存储在数据库中。它们可以被立即撤销，但每次请求都需要进行数据库查询。

相比之下，JWT 通常不会与数据存储进行校验，这意味着它们无法被立即撤销。这种方法的优势是改善了延迟并减少了数据存储的负载。

集成点

可以在服务端 hooks中检查身份认证 cookies。如果找到与提供的凭证匹配的用户，用户信息可以存储在 locals 中。

指南

Lucia是一个基于会话的 Web 应用程序认证的参考。它包含了在 SvelteKit 和其他 JS 项目中实现基于会话认证的示例代码片段和项目。您可以在创建新项目时使用 npx sv create 或在现有项目中使用 npx sv add lucia 来添加遵循 Lucia 指南的代码。

身份认证系统与 web 框架紧密耦合，因为大部分代码都在验证用户输入、处理错误和引导用户到适当的下一页。因此，许多通用的 JS 认证库都包含了一个或多个 web 框架。基于这个原因，许多用户会发现遵循 SvelteKit 特定的指南（如在Lucia中找到的示例）比在项目中包含多个 web 框架更可取。