ASP.NET Core 7 源码阅读5:鉴权授权
2023-07-10 15:35:12摘要:从Http无状态协议---用户持久化的需求---最初是Cookie+Session---Token但是不管是哪种方式,有一段内容是不变的: 请求服务端,获取凭证 客户端再次请求,带上凭证 服务端识别凭证,判断是否允许访问 鉴权授权的本质是做啥的? 其实就是第3步解决用户识别和判断授权的问题被拆分成了2个动作: 鉴权Authentication:凭证识别解析,有没有登陆,凭证有没有过期,是张三还是李四 授权Authorization:基于解析来权限检测,判断下张三/李四有没有权限访问这个资源 一、实操 1. 没有任何权限要求实操 添加相关控制器, Cookie式登陆方法 UseAuthentication + AddAuthentication + Cookie UseAuthorization + AddAuthorization(可不写) [Authorize] [AllowAnonymous] 校验流程: 未登陆,直接访问,跳转登录页 AllowAnonymous可直接访问 登陆后跳转,正常访问 退出后访问,跳转登陆页 2. 授权 Roles授权: [Authorize(Roles = Admin)] Policy授权: [Authorize(Policy = AdminPolicy)] 复杂Policy授权: [Authorize(Policy = MutiPolicy)] 授权的设计,也是可以满足开发者各种这样的需求—目前还没演示完 如果是没有登陆,是跳转LoginPath---401 如果是有凭证,但没有权限,是跳转AccessDeniedPath--403 3. 发送了什么? 请求到达Action之前,即使没有标记,也会自动鉴权 主动鉴权:理解鉴权信息保存 主动授权:理解授权检测过程 4. 理解总结 鉴权授权是ASP.NET Core框架封装的2个中间件,目的在于请求进入具体的Filter-M-V-C之前,通过中间件完成用户权限检测包含2个步骤: 鉴权Authentication:鉴别有没有登陆,解析是张三还是李四(且将信息传递下去)---UseAuthentication配置Http管道,保证请求来了,都要做一次凭证的解析AddAu…… 阅读全文
