认证(Authentication) 和 授权(Authorization)在 Asp.Net core 充当了两个不同的职责。有的老伙计在理解的时候还存在误解。本文我们将会通过一些简单的例子来说明这两个概念。

认证(Authentication)识别你是谁,授权(Authorization)决定你能做什么

加入 A 用户现在通过浏览器想要访问时总的网站,这个时候我们需要知道他是谁,也就是认证。如果他是一个普通用户,那么他只能访问一些公开的页面,如果他是管理员,那么他可以访问一些管理员的页面。这个时候我们需要知道他能做什么,也就是授权。

因此,认证是指识别用户的身份,而授权是指决定用户能做什么。

特别说明,识别你是谁的意思是,你可能被识别为一个普通用户,也可能被识别为一个管理员,也可能被识别为一个游客(匿名用户)。

脱离 Asp.Net Core 认证还有另外一层意思

我们常见的 OAuth2.0 认证、OpenID Connect 认证,账号密码认证,二维码认证等等,这些认证其实是用户与系统交互而产生凭据的过程。这些凭据可以是一个 token,也可以是一个 cookie,也可以是一个 session。这些凭据都是用来识别用户身份的。

为了区别这种情况,我们将前者在本文中称为“登录方式”,后者称为“认证方式”。

而在 Asp.Net Core 中,认证是指请求中的凭据如何被转换为一个 Principal 或者 Identity 对象。所以我们会见到 Claims-based authentication,也就是基于声明的认证。

所以实际上整个过程,可以理解为:用户通过登录方式登录,如果登录成功,那么系统会产生一个凭据,这个凭据拒绝与采用的认证方式有关,而是与 Asp.Net Core 中的认证方式有关。

举一些例子:

  • 用户通过基于账号密码的 OAuth2.0 认证登录,那么系统会产生一个 JWT token, 然后我们使用 JWT bearer 认证方式,将这个 token 作为凭据,然后 Asp.Net Core 会将这个 token 转换为一个 Principal 或者 Identity 对象。
  • 用户通过手机扫码的方式登录,那么系统会产生一个 session,然后我们使用 cookie 认证方式,将这个 session 作为凭据保存在 Cookie中,然后 Asp.Net Core 会将这个 Cookie 转换为一个 Principal 或者 Identity 对象。
  • 但其实我也可以这样:用户通过基于账号密码的 OAuth2.0 认证登录,那么系统会产生一个 JWT token, 然后我们使用 cookie 认证方式,将这个 token 作为凭据保存在 Cookie中,然后 Asp.Net Core 会将这个 token 转换为一个 Principal 或者 Identity 对象。

一些情况

那么结合以上情况,我们来鉴别一些词语的意思:

  • Digest authentication: 一种认证方式,它是基于账号密码的,但是密码不是明文传输的,而是通过哈希算法计算出来的。
  • JWT bearer authentication: 一种认证方式,它是基于 JWT token 的,但是 token 不是保存在 Cookie 中的,而是保存在 Authorization header 中。
  • Asp.net Cookie authentication: 一种认证方式,它是基于 Cookie 的, 通过密钥对 Cookie 进行加密,然后将加密后的 Cookie 保存在浏览器中。

总结

在 Asp.Net Core 中,认证是识别用户身份的过程,授权是决定用户是否有权限访问资源的过程。

参考资料

感谢您的阅读,如果您觉得本文有用,请点赞、关注和转发;更多精彩内容请关注我的博客 https://www.newbe.prohttps://github.com/newbe36524/newbe36524

  1. https://learn.microsoft.com/aspnet/core/security/authentication/?view=aspnetcore-7.0&WT.mc_id=DX-MVP-5003606

  2. https://learn.microsoft.com/azure/active-directory/develop/v2-oauth2-auth-code-flow?WT.mc_id=DX-MVP-5003606

在 Asp.Net Core 中什么是认证和授权的更多相关文章

  1. asp.net core 2.0的认证和授权

    在asp.net core中,微软提供了基于认证(Authentication)和授权(Authorization)的方式,来实现权限管理的,本篇博文,介绍基于固定角色的权限管理和自定义角色权限管理, ...

  2. 【转载】asp.net core 2.0的认证和授权

    在asp.net core中,微软提供了基于认证(Authentication)和授权(Authorization)的方式,来实现权限管理的,本篇博文,介绍基于固定角色的权限管理和自定义角色权限管理, ...

  3. 从零搭建一个IdentityServer——聊聊Asp.net core中的身份验证与授权

    OpenIDConnect是一个身份验证服务,而Oauth2.0是一个授权框架,在前面几篇文章里通过IdentityServer4实现了基于Oauth2.0的客户端证书(Client_Credenti ...

  4. ASP.NET Core 中的那些认证中间件及一些重要知识点

    前言 在读这篇文章之间,建议先看一下我的 ASP.NET Core 之 Identity 入门系列(一,二,三)奠定一下基础. 有关于 Authentication 的知识太广,所以本篇介绍几个在 A ...

  5. [转]ASP.NET Core 中的那些认证中间件及一些重要知识点

    本文转自:http://www.qingruanit.net/c_all/article_6645.html 在读这篇文章之间,建议先看一下我的 ASP.NET Core 之 Identity 入门系 ...

  6. 如何简单的在 ASP.NET Core 中集成 JWT 认证?

    前情提要:ASP.NET Core 使用 JWT 搭建分布式无状态身份验证系统 文章超长预警(1万字以上),不想看全部实现过程的同学可以直接跳转到末尾查看成果或者一键安装相关的 nuget 包 自上一 ...

  7. Asp.Net Core 中IdentityServer4 实战之角色授权详解

    一.前言 前几篇文章分享了IdentityServer4密码模式的基本授权及自定义授权等方式,最近由于改造一个网关服务,用到了IdentityServer4的授权,改造过程中发现比较适合基于Role角 ...

  8. Asp.net Core 系列之--5.认证、授权与自定义权限的实现

    ChuanGoing 2019-11-24 asp.net core系列已经来到了第五篇,通过之前的基础介绍,我们了解了事件订阅/发布的eventbus整个流程,初探dapper ORM实现,并且简单 ...

  9. 在asp.net core中使用cookie认证

    以admin控制器为要认证的控制器举例 1.对控制器设置权限特性 //a 认证命名空间 using Microsoft.AspNetCore.Authorization; using Microsof ...

  10. ASP.NET CORE中使用Cookie身份认证

    大家在使用ASP.NET的时候一定都用过FormsAuthentication做登录用户的身份认证,FormsAuthentication的核心就是Cookie,ASP.NET会将用户名存储在Cook ...

随机推荐

  1. DRF认证流程及源码分析

    认证 前言 用户验证用户是否合法登陆. 部分内容在DRF视图的使用及源码流程分析讲解,建议先看讲解视图的这篇文章. 使用流程 认证使用的方法流程如下: 自定义认证类,继承BaseAuthenticat ...

  2. day20 关联查询与多表联查 & 子查询与union联合查询 & 数据库定义语言DDL

    day20 关联查询 #左连接:表名 left join 表名 以左表为主表,只显示与左表能匹配的行 SELECT s.*,q.* FROM student AS s LEFT JOIN queue_ ...

  3. 数电第三周周结_by_yc

    主要内容:Modelsim和Quartus的使用坑点 Modelsim: 新建Project:   在每新建一个verilog文件时,均需要添加一project的独立路径,否则不同文件之间会相互影响! ...

  4. Pandas_1_预备知识

    Chapter1_Python基础 1.1 Python基础 推导式: 两个对象之间的映射关系,类似于实数之间关系变换的函数,只不过对象变成了矩阵. # Ex1-1 vacabulary = ['co ...

  5. 【sqoop】简介、原理、安装配置测试、导入导出案例、脚本打包、常见命令及参数介绍、常用命令举例

    一.sqoop简介 用于在Hadoop(Hive)与传统的数据库(mysql.oracle...)之间进行数据的传递,可以将一个关系型数据库(例如 : MySQL ,Oracle ,Postgres等 ...

  6. 线上服务异常的定位、处理与优化的探索 - 第三章 Java虚拟机

    Java虚拟机   之所以引入关于JVM的篇章,是发现多数项目发生的线上问题很大的几率源自JVM调优配置不当引起.对JVM的内存模型.GC垃圾回收机制.调优方式有一个系统化的了解后,可以快速处理或避免 ...

  7. SQL注入问题/触发器trigger/事务/事物隔离

    SQL注入问题 本质:利用特殊符号的组合产生特殊的含义,从而避开正常的业务逻辑 select * from userinfo where name='jason' -- kasdjksajd' and ...

  8. 前端程序员学python(爬虫向)(一文修到筑基期) (本文不含知识诅咒)

    我踏马来辣 还有一件事: 本教程配合c语言中文网 python爬虫 教程 食用 本教程不适用于未成年人 一定要刷牙 本教程不存在知识诅咒 学完本教程即可进入筑基期 js 基础和本教程学习效率成正比 不 ...

  9. 详解kubernetes五种暴露服务的方式

    部署完服务终将是为了访问,那么kubernetes中service和ingress都可以将集群内部的服务能够支持外部访问.service可以让一组 Pod(称为"后端")为集群内的 ...

  10. [深度探索C++对象模型]关于成员初始化列表(member initiallization list)

    四种特殊情况: 1.当初始化一个reference member时. 2.当初始化一个const member时. 3.当初始化一个base class的constructor,而它拥有一组参数时. ...