asp.net – 在Web应用程序中使用声明进行身份验证和授权的实用工

身份验证 – 确认数据或实体属性真实性的行为.

授权 – 指定对资源的访问权限的功能,通常与信息安全和计算机安全以及特别是访问控制有关.

因此,通常对于安全系统,工作流程从身份验证开始.当用户首次连接/使用系统时,则不进行身份验证(假设此用户属于匿名类型/组).确定用户未被认证的系统的行为是身份验证和自身身份验证.基于匿名,然后系统确定匿名用户类型的访问权限的行为现在授权用户可以做什么.对于非常安全的系统,唯一的匿名访问是登录屏幕/页面.登录后,将为用户分配唯一标识并分配某种类型的组策略/角色(如果尚未创建).
?使用基于Web的应用程序并拥有一个网站(#1)对另一个网站(#2)进行身份验证后,它会变得有点复杂.当我登录StackOverflow(#1)时,我使用了我的Gmail(#2)帐户.我通过一些特殊的方式将重定向到Google,以便我知道我来自/返回的页面.这可能是一个特殊的键/ url组合或限制较少的访问,通常与返回URL有关(在我说,是的,我回去的地方). Google将创建一个特殊的身份验证令牌,该令牌特定于我要返回的网址.它与URL绑定,因为这意味着我在StackOverflow上的令牌不允许我或其他任何人登录,例如说NewEgg(换句话说,StackOverflow上有权访问数据库的人不能使用我的令牌进行身份验证我在其他一些网站上,但从技术上讲,他们可以在StackOverflow上以我的身份登录,但他们拥有该网站,所以这并不重要).现在我在StackOverflow上进行了身份验证(但从技术上讲,StackOverflow甚至不需要知道关于我的任何信息,只需要知道我的令牌).

在StackOverflow上以新用户身份创建新帐户.此帐户可能与我在Stack Overflow上的唯一帐户和多个登录(以及登录类型,OAuth,OpenID或SO登录)之间存在一对多的关系.创建帐户后,我默认拥有他们设置的任何访问权限.如果我需要更多或某些触发器(假设基于我的声誉点:)我现在可以访问管理功能(给定一些角色).该角色与我的帐户绑定,并间接与我的身份验证相关联.这意味着我可以创建其他登录(例如本地SO登录)但保留我的帐户.

对于每个身份验证资源(Google,Facebook等),将存在身份验证的差异方案,但网站上始终至少会有一个令牌(或多个令牌)来说明我是谁(以通用方式) .

所以网站#1(Stack Overflow)已经要求网站#2(Google)对我进行身份验证.但只有网站#1知道我授权的内容.

对于特定于角色的功能,在处理ASP.Net Identity和Role Manager时,有很多答案：

Creating Roles in Asp.net Identity MVC 5

mvc 5 check user role

与MVC – Extending Identity Accounts and Implementing Role-Based Authentication in ASP.NET MVC 5更加深入地了解身份