一句话解释

鉴权是确认用户是谁。

小白比喻

进公司先刷工牌证明你是员工。

第一性原理

身份不清，后面的权限判断都没有基础。

为什么 AI Coding 时代必须懂

AI 可能把登录状态、token、cookie 当实现细节，但商业系统必须严肃处理。

商业项目事故

接口只看前端是否隐藏按钮，未登录用户直接调接口也能成功。

指挥 Codex 时应该怎么问

请检查这个功能的鉴权路径，确保服务端验证身份而不是只靠前端。

任务卡里应该怎么写

写清楚登录态来源、token 校验、过期处理和匿名访问策略。

验收标准怎么写

未登录请求被拒绝，过期 token 被正确处理，前端只做体验辅助。