在 Asp.Net Core 中什么是认证和授权
认证(Authentication) 和 授权(Authorization)在 Asp.Net core 充当了两个不同的职责。有的老伙计在理解的时候还存在误解。本文我们将会通过一些简单的例子来说明这两个概念。
认证(Authentication)识别你是谁,授权(Authorization)决定你能做什么
加入 A 用户现在通过浏览器想要访问时总的网站,这个时候我们需要知道他是谁,也就是认证。如果他是一个普通用户,那么他只能访问一些公开的页面,如果他是管理员,那么他可以访问一些管理员的页面。这个时候我们需要知道他能做什么,也就是授权。
因此,认证是指识别用户的身份,而授权是指决定用户能做什么。
特别说明,识别你是谁的意思是,你可能被识别为一个普通用户,也可能被识别为一个管理员,也可能被识别为一个游客(匿名用户)。
脱离 Asp.Net Core 认证还有另外一层意思
我们常见的 OAuth2.0 认证、OpenID Connect 认证,账号密码认证,二维码认证等等,这些认证其实是用户与系统交互而产生凭据的过程。这些凭据可以是一个 token,也可以是一个 cookie,也可以是一个 session。这些凭据都是用来识别用户身份的。
为了区别这种情况,我们将前者在本文中称为“登录方式”,后者称为“认证方式”。
而在 Asp.Net Core 中,认证是指请求中的凭据如何被转换为一个 Principal 或者 Identity 对象。所以我们会见到 Claims-based authentication,也就是基于声明的认证。
所以实际上整个过程,可以理解为:用户通过登录方式登录,如果登录成功,那么系统会产生一个凭据,这个凭据拒绝与采用的认证方式有关,而是与 Asp.Net Core 中的认证方式有关。
举一些例子:
- 用户通过基于账号密码的 OAuth2.0 认证登录,那么系统会产生一个 JWT token, 然后我们使用 JWT bearer 认证方式,将这个 token 作为凭据,然后 Asp.Net Core 会将这个 token 转换为一个 Principal 或者 Identity 对象。
- 用户通过手机扫码的方式登录,那么系统会产生一个 session,然后我们使用 cookie 认证方式,将这个 session 作为凭据保存在 Cookie中,然后 Asp.Net Core 会将这个 Cookie 转换为一个 Principal 或者 Identity 对象。
- 但其实我也可以这样:用户通过基于账号密码的 OAuth2.0 认证登录,那么系统会产生一个 JWT token, 然后我们使用 cookie 认证方式,将这个 token 作为凭据保存在 Cookie中,然后 Asp.Net Core 会将这个 token 转换为一个 Principal 或者 Identity 对象。
一些情况
那么结合以上情况,我们来鉴别一些词语的意思:
- Digest authentication: 一种认证方式,它是基于账号密码的,但是密码不是明文传输的,而是通过哈希算法计算出来的。
- JWT bearer authentication: 一种认证方式,它是基于 JWT token 的,但是 token 不是保存在 Cookie 中的,而是保存在 Authorization header 中。
- Asp.net Cookie authentication: 一种认证方式,它是基于 Cookie 的, 通过密钥对 Cookie 进行加密,然后将加密后的 Cookie 保存在浏览器中。
总结
在 Asp.Net Core 中,认证是识别用户身份的过程,授权是决定用户是否有权限访问资源的过程。
参考资料
- ASP.NET Core Authentication and Authorization1
- Microsoft identity platform and OAuth 2.0 authorization code flow2
感谢您的阅读,如果您觉得本文有用,请点赞、关注和转发;更多精彩内容请关注我的博客 https://www.newbe.pro 和 https://github.com/newbe36524/newbe36524。
- 本文作者: newbe36524
- 本文链接: https://www.newbe.pro/Others/0x018-what-is-authentication-and-authorization-in-aspnetcore/
- 版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
https://learn.microsoft.com/aspnet/core/security/authentication/?view=aspnetcore-7.0&WT.mc_id=DX-MVP-5003606
https://learn.microsoft.com/azure/active-directory/develop/v2-oauth2-auth-code-flow?WT.mc_id=DX-MVP-5003606
最新文章
- cron表达式详解
- php 设计模式 例子
- [p2p]UDP用打洞技术穿透NAT的原理与实现
- CentOS 7.0安装MPlayer
- DOM(文本对象模型)简介
- [pod install] error: cannot open .git/FETCH_HEAD: Permission denied
- WordPress插件开发记录
- 【转】内核编译时, 到底用make clean, make mrproper还是make distclean(转载)
- 运用JavaScript构建你的第一个Metro式应用程序(on Windows 8)(一)
- [译]Stairway to Integration Services Level 14 - 项目转换(SSIS 2008 ~ SSIS 2012)
- 用Atom打造简单的java编译器以及对于可能出现的问题解答
- Java 从键盘输入
- Android的ListView异步加载图片时,错位、重复、闪烁问题的分析及解决方法
- JS判断客户端是否是iOS或者Android手机移动端(转载)
- 关于QQ农场牧场等曾经流行的游戏的一些见解
- jQuery 基础语法
- vins-mono的边缘化分析
- Linux下Clamav 杀毒软件安装使用文档
- 主成分分析PCA(Principal Component Analysis)在sklearn中的应用及部分源码分析
- # RocEDU.课程设计2018 第三周进展 博客补交
热门文章
- 如何使用webgl(three.js)实现3D储能,3D储能站,3D智慧储能、储能柜的三维可视化解决方案——第十七课
- C#一个16进制数用二进制数表示是几位?
- 如何查看mysql数据目录位置
- Go语言核心36讲14
- 【云原生 · Kubernetes】Kubernetes简介及基本组件
- UBOOT编译--- UBOOT编译过程目标依赖分析(八)
- Java lambda表达式基本使用
- Azure DevOps Server 用户组加入 Azure AD Domain Service 管理用户
- 记一次hook mac地址实现伪装硬件码
- 前端工程化与webpack的介绍