在大多数Web开发中，登录、验证权限都是必不可少的内容。在 http://ASP.NET Core 中，微软提供了 http://ASP.NET Core Identity 来简化这个过程的开发。在一般情况下直接使用 Microsoft.AspNetCore.Identity.EntityFrameworkCore 和相关的库就能够在几行代码内实现一整套 http://ASP.NET Core Identity 的规范，适用性也比较强。

参考：
https://docs.microsoft.com/zh-cn/aspnet/core/security/?view=aspnetcore-3.1

身份验证是用于识别用户的身份；授权是用于识别用户可以做什么和不能做什么的过程。asp.net core 中通过 app.UseAuthentication() 做认证，通过 app.UseAuthorization() 做授权。Authentication是认证，明确是你谁，确认是不是合法用户。常用的认证方式有用户名密码认证。Authorization是授权，明确你是否有某个权限。当用户需要使用某个功能的时候，系统需要校验用户是否需要这个功能的权限。

SignInAsync把认证信息写到cookie中。根据cookie的特性，接来下所有的http请求都会携带cookie，所以系统可以对接来下用户发起的所有请求进行认证校验。一单认证成功，用户的认证信息里就会携带各种声明Claim，其实就是用户的一些信息，可以通过可以Claim存用户相关且常用的的东西，比如用户地址，角色等。调用HttpContext.SignOutAsync()方法清除用户登认证信息。

Authorization（授权）
AuthorizeAttribute默认授权校验其实是把认证跟授权合为一体了，只要认证过，就认为有授权，这是也是最最简单的授权模式。
有了认证我们还需要授权。有些页面则需要认证授权后才可以访问。所以就有了角色授权和策略授权。

角色授权

// aa || bb 权限即可访问
[Authorize(Roles = "aa,bb")]
public class xxxController : Controller{}

// aa && bb 权限即可访问
[Authorize(Roles = "aa")]
[Authorize(Roles = "bb")]
public class xxxController : Controller{}

角色授权其实就是根据用户信息中的角色来判断一个特殊的策略授

策略授权

services.AddAuthorization(options =>
{
    // 基于声明策略授权
    options.AddPolicy("cc", policy => policy.RequireClaim("cc"));
    
    // 基于角色策略授权
    options.AddPolicy("dd", policy => policy.RequireRole("dd"));

    // 基于多个角色策略授权
    options.AddPolicy("ee", policy => policy.RequireRole("ff", "gg"));
    
    // 基于角色和声明的自定义策略授权
    options.AddPolicy("CustomPolicy", policy => policy.RequireAssertion(
        context => context.User.IsInRole("admin")
        && context.User.HasClaim(claim => claim.Type == "hello" && claim.Value == "world") 
        || context.User.IsInRole("superadmin")));
        
    options.AddPolicy("EditRolePolicy", policy => policy.RequireAssertion(context => AuthorizeAccess(context)));

});


private bool AuthorizeAccess(AuthorizationHandlerContext context)
{
    return context.User.IsInRole("Admin") &&
            context.User.HasClaim(claim => claim.Type == "Edit Role" && claim.Value == "true") ||
            context.User.IsInRole("Super Admin");
}

自定义授权处理程序的策略授权

定义授权需求类

public class CustomRequirement:IAuthorizationRequirement

定义授权处理程序，授权需求类做泛型参数

public class SuperAdminHandler : AuthorizationHandler<CustomRequirement>
{
    protected override Task HandleRequirementAsync(
        AuthorizationHandlerContext context,
        CustomRequirement requirement)
    {
        if (context.User.IsInRole("Super Admin"))
        {
            context.Succeed(requirement);
        }

        return Task.CompletedTask;
    }
}

依赖注入授权处理程序

services.AddSingleton<IAuthorizationHandler, SuperAdminHandler>();

定义声明授权

services.AddAuthorization(options =>
{
    options.AddPolicy("XXXPolicy", policy => policy.AddRequirements(new CustomRequirement()));
    
    //存在多个自定义授权处理程序，即多个授权处理程序继承同一个授权需求类时
    //确定在失败后是否应调用身份验证处理程序。
    options.InvokeHandlersAfterFailure = false;
});

使用策略授权

[Authorize(Policy = "XXXPolicy")]
[HttpPost]
public async Task<IActionResult> Foo(string id)