Autorizace na základě deklarací identity a zásad v ASP.NET Core
V předchozí lekci jste přidali funkci kódu QR, která umožňuje vícefaktorové ověřování. V této lekci se dozvíte o autorizaci na základě deklarací identity a zásad.
Autorizace vs. ověřování
Všechno, co jste se zatím dozvěděli o identitě, bylo o ověřování. Ověřování je proces, ve kterém je uživatel ověřený, aby byl tím, za koho se tvrdí.
Zvažte přihlašovací formulář. Když do formuláře zadáte své uživatelské jméno, tvrdíte, že jste vy. Formulář vás ověří jako osobu, o kterou tvrdíte, že je ověříte svým heslem.
Autorizace odkazuje na proces, který určuje, co má ověřený uživatel povoleno dělat. Obrazovka pro správu může být například omezena na uživatele s nárokem na IsAdmin=True
. Vzhledem k tomu, že deklarace identity jsou přidružené k identitě, bez ověřování nemůže existovat žádná autorizace.
Autorizace na základě deklarací identity a zásad
Deklarace identity jsou páry název-hodnota popisující, co předmět je, ne to, co může dělat! Deklarace identity jsou přiřazené důvěryhodnou autoritou a používají se k vynucení zásad autorizace.
Zvažte ID vydané vládou. ID zobrazuje vaše atributy. Jedná se o deklarace identity. Zúčastněné strany mohou sledovat ID, ověřit jeho zdroj a pravost a rozhodovat se na základě atributů. Rozhodnutí vynucuje zásadu.
Podívejte se na bary a hospody, kde najdete konkrétnější příklad. Alice chce koupit nápoje pro dospělé. Barman zkoumá přihlašovací údaje Alice a sleduje nárok na své datum narození. Pak vynucují zásadu založenou na tomto datu narození a Alice má oprávnění k nákupu nápoje.
Shrnutí
V této lekci jste se dozvěděli rozdíl mezi ověřováním a autorizací. Dozvěděli jste se také, jak se deklarace identity používají zásadami pro autorizaci. V další lekci můžete pomocí identity ukládat deklarace identity a uplatňovat zásady pro podmíněný přístup.