ASP.NET Core 中基于策略的授權(quán)

　　軟件應(yīng)用程序的授權(quán)層可確保當(dāng)前用戶能夠訪問指定資源、執(zhí)行給定操作或?qū)χ付ㄙY源執(zhí)行給定操作ASPCMS批量上傳內(nèi)容。在 ASP.NET Core 中，授權(quán)層的設(shè)置方式有兩種。可以使用角色，也可以使用策略。前一種方法（即基于角色的授權(quán)）一直在舊版 ASP.NET 平臺(tái)中沿用ASPCMS批量刪除關(guān)鍵詞，而基于策略的授權(quán)則是 ASP.NET Core 中新增的方法。

　　Authorize 屬性

　　從早期開始，ASP.NET 應(yīng)用程序中使用的一直都是角色。從技術(shù)角度來講，角色是純字符串。不過，它的值被安全層視為元信息（檢查 IPrincipal 對(duì)象中是否有值），并供應(yīng)用程序使用，用于將一組權(quán)限映射到經(jīng)過身份驗(yàn)證的給定用戶。

　　在 ASP.NET 中，登錄用戶由 IPrincipal 對(duì)象進(jìn)行標(biāo)識(shí)。在 ASP.NET Core 中，實(shí)際類是 ClaimsPrincipal。此類可公開一系列標(biāo)識(shí)ASPCMS批量更新文章 ，每個(gè)標(biāo)識(shí)均由 IIdentity 對(duì)象（具體而言，就是 ClaimsIdentity 對(duì)象）進(jìn)行表示。

　　也就是說，任何登錄用戶都會(huì)隨附一個(gè)聲明列表，這其實(shí)就是用戶的狀態(tài)聲明。用戶名和角色是 ASP.NET Core 應(yīng)用程序用戶的兩個(gè)常見聲明。不過，角色是否顯示取決于后備標(biāo)識(shí)存儲(chǔ)區(qū)。例如，如果使用社交身份驗(yàn)證，永遠(yuǎn)都不會(huì)看到角色。

　　授權(quán)比身份驗(yàn)證更進(jìn)一步。身份驗(yàn)證就是發(fā)現(xiàn)用戶標(biāo)識(shí)，而授權(quán)則是定義用戶調(diào)用應(yīng)用程序終結(jié)點(diǎn)的要求。用戶角色通常存儲(chǔ)在數(shù)據(jù)庫中，并在用戶憑據(jù)經(jīng)過驗(yàn)證后進(jìn)行檢索。此時(shí)，角色信息以某種方式附加到用戶帳戶。

　　IIdentity 接口的特征之一是，必須實(shí)現(xiàn) IsInRole 方法。為此，ClaimsIdentity 類檢查身份驗(yàn)證進(jìn)程生成的一系列聲明中是否有角色聲明。總之，當(dāng)用戶嘗試調(diào)用安全的控制器方法時(shí)，角色應(yīng)可供檢查。如果不可以，用戶調(diào)用任何安全的方法時(shí)則會(huì)遭拒。