主要两个方面，身份验证以及访问控制，参见各aws的iam,

• 身份验证

主要验证你是不是你的问题，一般通过通过用户名密码进行校验，也可以通过(accesskey/accessSecret)进行，一般终端用户用前者，开放平台的接口使用后者．而用户名/密码模式一般会在登录后换取token.

• 访问控制

访问控制主要是判断是你不是有权限进行这个操作，比如你在群里，当你要进行解散群的操作时，会判断是否有该权限，否则拒绝操作．

• 其他安全机制

其他的一些安全机制则属于通用安全机制，如流控(多长时间内只能访问特定次数)，主要防止攻击．请求响应包大写限制，主要防止一些违规操作．

token state