软件应用程序的授权层可确保当前用户能够访问指定资源、执行给定操作或对指定资源执行给定操作ASPCMS批量上传内容。在 ASP.NET Core 中,授权层的设置方式有两种。可以使用角色,也可以使用策略。前一种方法(即基于角色的授权)一直在旧版 ASP.NET 平台中沿用ASPCMS批量删除关键词,而基于策略的授权则是 ASP.NET Core 中新增的方法。
Authorize 属性
从早期开始,ASP.NET 应用程序中使用的一直都是角色。从技术角度来讲,角色是纯字符串。不过,它的值被安全层视为元信息(检查 IPrincipal 对象中是否有值),并供应用程序使用,用于将一组权限映射到经过身份验证的给定用户。
在 ASP.NET 中,登录用户由 IPrincipal 对象进行标识。在 ASP.NET Core 中,实际类是 ClaimsPrincipal。此类可公开一系列标识ASPCMS批量更新文章 ,每个标识均由 IIdentity 对象(具体而言,就是 ClaimsIdentity 对象)进行表示。
也就是说,任何登录用户都会随附一个声明列表,这其实就是用户的状态声明。用户名和角色是 ASP.NET Core 应用程序用户的两个常见声明。不过,角色是否显示取决于后备标识存储区。例如,如果使用社交身份验证,永远都不会看到角色。
授权比身份验证更进一步。身份验证就是发现用户标识,而授权则是定义用户调用应用程序终结点的要求。用户角色通常存储在数据库中,并在用户凭据经过验证后进行检索。此时,角色信息以某种方式附加到用户帐户。
IIdentity 接口的特征之一是,必须实现 IsInRole 方法。为此,ClaimsIdentity 类检查身份验证进程生成的一系列声明中是否有角色声明。总之,当用户尝试调用安全的控制器方法时,角色应可供检查。如果不可以,用户调用任何安全的方法时则会遭拒。
<
文章地址:https://www.tianxianmao.com/article/other/ASPNETCorezjycldsq.html
