Autoryzacja oparta na oświadczeniach i zasadach w programie ASP.NET Core
W poprzedniej lekcji dodano funkcję kodu QR, aby umożliwić uwierzytelnianie wieloskładnikowe. W tej lekcji dowiesz się więcej o autoryzacji na podstawie oświadczeń i zasad.
Autoryzacja a uwierzytelnianie
Wszystko, co już wiesz o tożsamości, dotyczyło uwierzytelniania. Uwierzytelnianie to proces, w którym użytkownik jest weryfikowany jako osoba, do której się podaje.
Rozważ formularz logowania. Po wprowadzeniu nazwy użytkownika w formularzu twierdzisz, że jesteś tobą. Formularz uwierzytelnia Cię jako osobę, którą twierdzisz, weryfikując hasło.
Autoryzacja odnosi się do procesu, który określa, co może zrobić uwierzytelniony użytkownik. Na przykład ekran administracyjny może być ograniczony do użytkowników z oświadczeniem IsAdmin=True. Ponieważ oświadczenia są skojarzone z tożsamością, nie może istnieć autoryzacja bez uwierzytelniania.
Oświadczenia i autoryzacja oparta na zasadach
Oświadczenia to pary nazwa-wartość opisujące, czym jest temat, a nie to, co może zrobić! Oświadczenia są przypisywane przez zaufany urząd i są używane do wymuszania zasad autoryzacji.
Rozważ identyfikator wystawiony przez instytucje rządowe. Identyfikator wyświetla atrybuty. Są to oświadczenia. Zainteresowane strony mogą obserwować identyfikator, weryfikować jego źródło i autentyczność oraz podejmować decyzje na podstawie atrybutów. Decyzje wymuszają zasady.
Spójrz na bary i tawerny, aby uzyskać bardziej konkretny przykład. Alicja chce kupić napój dla dorosłych. Barman bada poświadczenia Alicji i obserwuje roszczenie o jej datę urodzenia. Następnie wymuszają zasady oparte na tej dacie urodzenia, a Alicja jest upoważniona do zakupu napoju.
Podsumowanie
W tej lekcji przedstawiono różnicę między uwierzytelnianiem a autoryzacją. Przedstawiono również sposób użycia oświadczeń przez zasady do autoryzacji. W następnej lekcji możesz użyć tożsamości do przechowywania oświadczeń i stosowania zasad dostępu warunkowego.