ASP.Net Core下的安全（授权、身份验证、ASP.NET Core Identity）

• https://docs.microsoft.com/zh-cn/aspnet/core/security/?view=aspnetcore-2.0

通过这些安全功能，可以生成安全可靠的 ASP.NET Core 应用。

• ASP.NET Core 安全性功能

利用 ASP.NET Core 可以轻松管理应用机密，无需将机密信息暴露在代码中就可存储和使用它们。

• 身份验证 vs授权

授权指判断允许用户执行的操作的过程。

　　也可以将身份验证理解为进入空间（例如服务器、数据库、应用或资源）的一种方式，而授权是用户可以对该空间（服务器、数据库或应用）内的哪些对象执行哪些操作。

• 软件中的常见漏洞

下表中链接的文档详细介绍了在 Web 应用中避免最常见安全漏洞的技术：

• 跨站点脚本攻击
• SQL 注入式攻击
• 跨站点请求伪造 (CSRF)
• 打开重定向攻击

• ASP.NET Core文档：

• https://docs.microsoft.com/zh-cn/aspnet/?view=aspnetcore-3.1#pivot=core&panel=core_overview

• 在 ASP.NET Core 中授权简介

 

使用库的非管理用户仅获得读取文档的权限。

身份验证可为当前用户创建一个或多个标识。

 

• https://docs.microsoft.com/zh-cn/aspnet/core/security/authorization/introduction?view=aspnetcore-3.1
• 基于角色的授权
• 基于声明的授权

• Policy
• Middleware
• Custom Attribute

相关资源：Nopcommerce、Orchard项目

• ASP.NET核心的身份验证示例

• https://docs.microsoft.com/zh-cn/aspnet/core/security/authentication/?view=aspnetcore-3.1

与身份验证相关的操作示例包括：

• 对用户进行身份验证。
• 在未经身份验证的用户试图访问受限资源时作出响应。

ASP.NET核心存储库在AspNetCore/src/安全/示例文件夹中包含以下身份验证示例：

• 声明转换
• Cookie 身份验证
• 自定义策略提供程序 - 授权策略提供程序
• 动态身份验证方案和选项
• 外部索赔
• 根据请求在 Cookie 和另一个身份验证方案之间进行选择
• 限制对静态文件的访问

运行示例

• 例如： release/3.1
• ASP.NET核心存储库。
• .NET Core SDK版本。
• 导航到AspNetCore/src/Security/示例中的示例，然后使用dotnet run运行示例。

https://www.jianshu.com/p/0ed4d820809c