Anspråk och principbaserad auktorisering i ASP.NET Core
I föregående lektion lade du till QR-kodfunktioner för att aktivera multifaktorautentisering. I den här lektionen får du lära dig om auktorisering baserat på anspråk och principer.
Auktorisering jämfört med autentisering
Allt du har lärt dig om identitet hittills har handlar om autentisering. Autentisering är en process där en användare verifieras vara den de påstår sig vara.
Överväg ett inloggningsformulär. När du anger ditt användarnamn i formuläret utger du dig för att vara du. Formuläret autentiserar dig som den person som du påstår dig vara genom att verifiera ditt lösenord.
Auktorisering refererar till processen som avgör vad en autentiserad användare får göra. Till exempel kan en administrationsskärm begränsas till användare med anspråket IsAdmin=True. Eftersom anspråk är associerade med en identitet kan det inte finnas någon auktorisering utan autentisering.
Anspråk och principbaserad auktorisering
Anspråk är namn/värde-par som beskriver vad ämnet är, inte vad det kan göra! Anspråk tilldelas av en betrodd utfärdare och används för att framtvinga auktoriseringsprinciper.
Överväg ett myndighets utfärdat ID. ID:t visar dina attribut. Det här är anspråk. Berörda parter kan observera ID:t, verifiera källan och äktheten och fatta beslut baserat på attributen. Besluten tillämpar en princip.
Titta på barer och tavernor för ett mer konkret exempel. Alice vill köpa en vuxen dryck. Bartendern undersöker Alice referenser och noterar påståendet om hennes födelsedatum. De tillämpar sedan en princip baserat på det födelsedatumet, och Alice har behörighet att köpa drycken.
Sammanfattning
I den här lektionen har du lärt dig skillnaden mellan autentisering och auktorisering. Du har också lärt dig hur anspråk används av principer för auktorisering. I nästa lektion kan du använda Identity för att lagra anspråk och tillämpa principer för villkorlig åtkomst.