Asp.NET Core 中的 認證授權 詳解和使用

Asp.NET Core 中的 認證授權 詳解和使用 - 醉馬踏千秋 - 博客園 https://www.cnblogs.com/abc1069/p/16058146.html

什么是 驗證 和 授權？

身份驗證（authentication）：是確定用戶身份的過程

授權（authorization ）：是確定用戶（已經(jīng)驗證成功的用戶）是否有權訪問資源的過程。

 

身份驗證

職責：

• 對用戶進行身份驗證。

• 在未經(jīng)身份驗證的用戶試圖訪問受限資源時作出響應。

現(xiàn)在，我們對一個 action 方法上添加 authorize 特性，這表明我們對這個接口進行了授權： 

[HttpGet]
[Authorize]
public IEnumerable Get(){
return new string[] {"數(shù)據(jù)1", "數(shù)據(jù)2"};
}

如果我們直接訪問這個接口，會報如下錯誤：

意思是：你定義了授權，但沒有指定任何（包括自定義和官方的） 身份驗證方案；

授權Authorization 和 認證Authentication 是相輔相成的；兩者缺一不可。

 

解決的方法，其實報錯信息已經(jīng)告訴你了；即：添加認證方案的支持，其實，認證方案有很多，但是現(xiàn)在主要推薦的還是 Jwt Bearer 身份驗證方案：

1、Nuget 中安裝 Microsoft.AspNetCore.Authentication.JwtBearer 包；

2、然后再 ConfigurationServices 中添加對 身份驗證的方案（包括使用什么方案，這個方案需要做什么樣子的配置） 做注入容器中處理：

提醒：根據(jù)報錯信息，他有兩種寫法，

下面是第二種：

401 Unauthorized：未經(jīng)授權，身份認證不通過，未認證，可能：無令牌，令牌無效、失效（因為你沒有使用有效的token，無法通過 身份認證 Authentication）

403 Forbidden：被禁止，即：令牌通過，但是你無權限。

授權

上面例子中，我么用 authorize 這個特性作用于一個 action 方法上了，這就是授權，對這個action進行了權限限制；

但是，這種簡單的授權，是只要有效的token（即：身份驗證通過），就能訪問這個接口，而沒有精細化處理（就好比：董事長有這權限、行政也有著權限、而員工沒有這權限）；

asp.net core 的授權分三種

1、普通的授權（上面已經(jīng)講了）

2、基于角色的授權

3、基于策略的授權