Web服务器与浏览器之间的认证流程没有规定的步骤，根据不同的认证模式及鉴权方式可能会有不同的执行步骤。下图用一个最简单的流程了解整个认证过程是如何工作的，首先浏览器向服务器发起请求，然后服务器向浏览器质问用户名及密码，浏览器带上用户名及密码重新请求，服务器根据用户名获取相应角色并判断是否有权限访问该资源，最后通过认证后返回受保护资源。

在这整个过程中可以分为客户端与服务端交互、服务端权限验证两部分，客户端与服务端的交互其实就是认证模式，这是客户端与服务端之间的约定，存在多种认证模式。服务端权限验证则是将资源与角色映射起来，根据保存的用户信息判断客户端用户是否有权限访问。