身份认证确认用户身份,授权控制资源访问。.NET通过ASP.NET Core Identity实现用户管理,支持多种认证方式和基于角色、策略的授权,结合中间件和特性配置,可快速构建安全应用。
.NET中的身份认证(Authentication)和授权(Authorization)是构建安全应用的两个核心机制。身份认证确认用户是谁,授权决定已认证的用户能访问哪些资源或执行哪些操作。在实际开发中,这两个过程通常配合使用,确保只有合法用户在权限范围内进行操作。
身份认证与授权的基本概念
身份认证(Authentication) 是验证用户身份的过程。比如用户输入用户名和密码,系统检查是否匹配,若匹配则认为该用户身份合法。.NET支持多种认证方式,如Cookie认证、JWT Bearer认证、第三方登录(Google、Facebook等)。
授权(Authorization) 发生在认证之后,用于控制用户可以访问的资源。例如,管理员可以删除数据,普通用户只能查看。.NET通过角色(Role)、策略(Policy)等方式实现精细的权限控制。
使用ASP.NET Core Identity框架
Identity 是 ASP.NET Core 提供的一套完整的用户管理框架,内置了用户注册、登录、密码管理、角色管理等功能,适合大多数Web应用的需求。
1. 添加Identity到项目
创建一个新的 ASP.NET Core Web 应用,在创建时选择“Individual Account”(单独用户账户),Visual Studio 会自动配置 Identity。或者手动添加:
dotnet add package Microsoft.AspNetCore.Identity.EntityFrameworkCore dotnet add package Microsoft.EntityFrameworkCore.SqlServer
然后在 Program.cs 中注册服务:
var builder = WebApplication.CreateBuilder(args);
builder.Services.AddDbContext(options =>
options.UseSqlServer(builder.Configuration.GetConnectionString("DefaultConnection")));
builder.Services.AddIdentity()
.AddEntityFrameworkStores()
.AddDefaultTokenProviders();
var app = builder.Build();
// 启用认证和授权中间件
app.UseAuthentication();
app.UseAuthorization(); 2. 配置数据库上下文
创建一个继承自 IdentityDbContext 的类:
public class ApplicationDbContext : IdentityDbContext
{
public ApplicationDbContext(DbContextOptions options) : base(options)
{
}
}使用 EF Core 迁移生成数据库表:
dotnet ef migrations add CreateIdentitySchema dotnet ef database update
3. 使用内置页面或API进行登录/注册
Identity 支持 Razor Pages UI。可通过脚手架添加登录、注册页面:
- 右键项目 → “添加” → “新搭建基架项”
- 选择“Identity”,添加 Login、Register 等页面
也可以通过控制器实现 API 登录:
[ApiController]
[Route("[controller]")]
public class AccountController : ControllerBase
{
private readonly SignInManager _signInManager;
public AccountController(SignInManager signInManager)
{
_signInManager = signInManager;
}
[HttpPost("login")]
public async Task Login(LoginModel model)
{
var result = await _signInManager.PasswordSignInAsync(
model.Username, model.Password, false, false);
if (result.Succeeded)
{
return Ok("登录成功");
}
return Unauthorized();
}
} 实现授权控制
在控制器或 Razor 页面上使用特性来限制访问:
[Authorize] // 要求用户已登录 public class SecureController : Controller { [Authorize(Roles = "Admin")] public IActionResult DeleteUser() { return View(); } [Authorize(Policy = "MustBeOver18")] public IActionResult AdultContent() { return View(); } }
登录
public class SecureController : Controller
{
[Authorize(Roles = "Admin")]
public IActionResult DeleteUser()
{
return View();
}
[Authorize(Policy = "MustBeOver18")]
public IActionResult AdultContent()
{
return View();
}
}自定义授权策略
在 Program.cs 中定义策略:
builder.Services.AddAuthorization(options =>
{
options.AddPolicy("MustBeOver18", policy =>
policy.RequireClaim("age", "18", "21", "25"));
});或基于更复杂的逻辑使用 IAuthorizationHandler。
基本上就这些。Identity 框架简化了用户管理,结合认证与授权机制,能快速构建安全的 .NET 应用。不复杂但容易忽略细节,比如中间件顺序和策略配置。
