认证(Authentication) 和 授权(Authorization)在 Asp.Net core 充当了两个不同的职责。有的老伙计在理解的时候还存在误解。本文我们将会通过一些简单的例子来说明这两个概念。

认证(Authentication)识别你是谁,授权(Authorization)决定你能做什么

加入 A 用户现在通过浏览器想要访问时总的网站,这个时候我们需要知道他是谁,也就是认证。如果他是一个普通用户,那么他只能访问一些公开的页面,如果他是管理员,那么他可以访问一些管理员的页面。这个时候我们需要知道他能做什么,也就是授权。

因此,认证是指识别用户的身份,而授权是指决定用户能做什么。

特别说明,识别你是谁的意思是,你可能被识别为一个普通用户,也可能被识别为一个管理员,也可能被识别为一个游客(匿名用户)。

脱离 Asp.Net Core 认证还有另外一层意思

我们常见的 OAuth2.0 认证、OpenID Connect 认证,账号密码认证,二维码认证等等,这些认证其实是用户与系统交互而产生凭据的过程。这些凭据可以是一个 token,也可以是一个 cookie,也可以是一个 session。这些凭据都是用来识别用户身份的。

为了区别这种情况,我们将前者在本文中称为“登录方式”,后者称为“认证方式”。

而在 Asp.Net Core 中,认证是指请求中的凭据如何被转换为一个 Principal 或者 Identity 对象。所以我们会见到 Claims-based authentication,也就是基于声明的认证。

所以实际上整个过程,可以理解为:用户通过登录方式登录,如果登录成功,那么系统会产生一个凭据,这个凭据拒绝与采用的认证方式有关,而是与 Asp.Net Core 中的认证方式有关。

举一些例子:

  • 用户通过基于账号密码的 OAuth2.0 认证登录,那么系统会产生一个 JWT token, 然后我们使用 JWT bearer 认证方式,将这个 token 作为凭据,然后 Asp.Net Core 会将这个 token 转换为一个 Principal 或者 Identity 对象。
  • 用户通过手机扫码的方式登录,那么系统会产生一个 session,然后我们使用 cookie 认证方式,将这个 session 作为凭据保存在 Cookie中,然后 Asp.Net Core 会将这个 Cookie 转换为一个 Principal 或者 Identity 对象。
  • 但其实我也可以这样:用户通过基于账号密码的 OAuth2.0 认证登录,那么系统会产生一个 JWT token, 然后我们使用 cookie 认证方式,将这个 token 作为凭据保存在 Cookie中,然后 Asp.Net Core 会将这个 token 转换为一个 Principal 或者 Identity 对象。

一些情况

那么结合以上情况,我们来鉴别一些词语的意思:

  • Digest authentication: 一种认证方式,它是基于账号密码的,但是密码不是明文传输的,而是通过哈希算法计算出来的。
  • JWT bearer authentication: 一种认证方式,它是基于 JWT token 的,但是 token 不是保存在 Cookie 中的,而是保存在 Authorization header 中。
  • Asp.net Cookie authentication: 一种认证方式,它是基于 Cookie 的, 通过密钥对 Cookie 进行加密,然后将加密后的 Cookie 保存在浏览器中。

总结

在 Asp.Net Core 中,认证是识别用户身份的过程,授权是决定用户是否有权限访问资源的过程。

参考资料

感谢您的阅读,如果您觉得本文有用,请点赞、关注和转发;更多精彩内容请关注我的博客 https://www.newbe.prohttps://github.com/newbe36524/newbe36524

  1. https://learn.microsoft.com/aspnet/core/security/authentication/?view=aspnetcore-7.0&WT.mc_id=DX-MVP-5003606

  2. https://learn.microsoft.com/azure/active-directory/develop/v2-oauth2-auth-code-flow?WT.mc_id=DX-MVP-5003606

在 Asp.Net Core 中什么是认证和授权的更多相关文章

  1. asp.net core 2.0的认证和授权

    在asp.net core中,微软提供了基于认证(Authentication)和授权(Authorization)的方式,来实现权限管理的,本篇博文,介绍基于固定角色的权限管理和自定义角色权限管理, ...

  2. 【转载】asp.net core 2.0的认证和授权

    在asp.net core中,微软提供了基于认证(Authentication)和授权(Authorization)的方式,来实现权限管理的,本篇博文,介绍基于固定角色的权限管理和自定义角色权限管理, ...

  3. 从零搭建一个IdentityServer——聊聊Asp.net core中的身份验证与授权

    OpenIDConnect是一个身份验证服务,而Oauth2.0是一个授权框架,在前面几篇文章里通过IdentityServer4实现了基于Oauth2.0的客户端证书(Client_Credenti ...

  4. ASP.NET Core 中的那些认证中间件及一些重要知识点

    前言 在读这篇文章之间,建议先看一下我的 ASP.NET Core 之 Identity 入门系列(一,二,三)奠定一下基础. 有关于 Authentication 的知识太广,所以本篇介绍几个在 A ...

  5. [转]ASP.NET Core 中的那些认证中间件及一些重要知识点

    本文转自:http://www.qingruanit.net/c_all/article_6645.html 在读这篇文章之间,建议先看一下我的 ASP.NET Core 之 Identity 入门系 ...

  6. 如何简单的在 ASP.NET Core 中集成 JWT 认证?

    前情提要:ASP.NET Core 使用 JWT 搭建分布式无状态身份验证系统 文章超长预警(1万字以上),不想看全部实现过程的同学可以直接跳转到末尾查看成果或者一键安装相关的 nuget 包 自上一 ...

  7. Asp.Net Core 中IdentityServer4 实战之角色授权详解

    一.前言 前几篇文章分享了IdentityServer4密码模式的基本授权及自定义授权等方式,最近由于改造一个网关服务,用到了IdentityServer4的授权,改造过程中发现比较适合基于Role角 ...

  8. Asp.net Core 系列之--5.认证、授权与自定义权限的实现

    ChuanGoing 2019-11-24 asp.net core系列已经来到了第五篇,通过之前的基础介绍,我们了解了事件订阅/发布的eventbus整个流程,初探dapper ORM实现,并且简单 ...

  9. 在asp.net core中使用cookie认证

    以admin控制器为要认证的控制器举例 1.对控制器设置权限特性 //a 认证命名空间 using Microsoft.AspNetCore.Authorization; using Microsof ...

  10. ASP.NET CORE中使用Cookie身份认证

    大家在使用ASP.NET的时候一定都用过FormsAuthentication做登录用户的身份认证,FormsAuthentication的核心就是Cookie,ASP.NET会将用户名存储在Cook ...

随机推荐

  1. 用于数据科学的顶级 C/C++ 机器学习库整理

    用于数据科学的顶级 C/C++ 机器学习库整理 介绍和动机--为什么选择 C++ C++ 非常适合 动态负载平衡. 自适应缓存以及开发大型大数据框架 和库.Google 的MapReduce.Mong ...

  2. [leetcode] 706. Design HashMap

    题目 Design a HashMap without using any built-in hash table libraries. Implement the MyHashMap class: ...

  3. java基础篇—基础语法

    一.关键字和保留字    1.什么是关键字? 通俗来说就是带有特殊含义的字符,有自己专门用途的单词 2.特点? 关键字全部由小写构成,以下是java官方列举出的关键字 注意: 保留关键字:指的是现有版 ...

  4. 【第6篇】AI语音测试简介

    1.4 AI语音测试简介 AI语音测试是针对人工智能语音交互的测试,人工智能语音交互一般包含语音识别技术(ASR).自然语言处理技术(NLP)和语音合成技术(TTS)等3大部分,通俗地来讲AI语音测试 ...

  5. typora实现多平台发布文章

    源码下载 前言 之前写过一片文章,typora 使用CSDN作为图床,用来存储 markdown 文章的图片资源文件.后来发现 typora 还可以自定义导出命令,那么也可以利用这个功能实现直接发布到 ...

  6. os sys json模块

    Day19 os sys json 今日内容概要 os模块 sys模块 json模块 json模块实践 今日内容详细 一.os模块 os模块主要与代码运行所在的操作系统打交道 import os 1. ...

  7. K8s 超详细总结

    一个目标:容器操作:两地三中心:四层服务发现:五种Pod共享资源:六个CNI常用插件:七层负载均衡:八种隔离维度:九个网络模型原则:十类IP地址:百级产品线:千级物理机:万级容器:相如无亿,K8s有亿 ...

  8. pandas中groupby的使用

    一.缘由 在爬取大量的数据之后,需要对数据进行分组的处理,于是就使用了groupby,但是我需要的并不是分组之后数据的聚合分析,我需要的是原生的某些数据.但是却找不到网上的相关案例.于是,我就自己尝试 ...

  9. LeetCode HOT 100:搜索旋转排序数组

    题目:33. 搜索旋转排序数组 题目描述: 一个整数数组,数组每个值都不相同,且该整数数组是一个被旋转过的数组.被旋转过的数组是指,由一个递增的数组,从某一个下标开始往后的元素,移到最开头.举个例子: ...

  10. 前端知识之JS(javascirpt)

    目录 JS简介 JS基础 1.注释语法 2.引入JS的多种方式 3.结束符号 变量与常量 基本数据类型 1.数字类型(Number) 2.字符类型(string) 3.布尔类型(Boolean) 4. ...