漫谈认证与授权
漫談認證與授權
Intro
認證與授權一直以來都是很多人在討論的話題,之所以想這次談一談認證和授權,主要是因為最近看到許多文章都把認證和授權混為一談,把認證方式當作是授權方式。所以想寫篇文章談談我眼中的認證與授權。
Authentication
什么是認證?認證是一個嘗試解決我是誰的問題的過程。
以一個 HTTP 請求為例,認證就是?嘗試?從請求信息中獲取用戶信息的過程,
有一點需要特別注意:認證并不等于一定有用戶信息,有些文章直接把認證等同于有用戶信息,再次強調,認證就是認證,一定有用戶信息就相當于是要授權了,有用戶信息只能說明某種認證方式認證成功了,經過某種方式認證之后,還是沒有用戶信息,只能說明這種認證方式認證失敗,認證失敗并不代表授權失敗。
認證的方式可以多種多樣,而且我們可以同時使用多種認證方式:比如說 Cookie 認證、JWT 認證 以及其他自定義 Token 認證,之所以稱之為認證方式,是因為他們只提供解決我是誰的解決方案,比如 Cookie 認證會嘗試從 HTTP 請求攜帶的 Cookie 信息中獲取用戶信息,而 JWT 則是從 Authorization 請求頭中的 Bearer Token 獲取用戶的信息,自定義的Token 也類似。
甚至我們可以做一些擴展,做一些不一樣的認證,比如說根據 Header/QueryString Authentication,我在我們的項目里就是這么做的,網關解析出用戶信息之后轉發給下游服務的請求會把用戶信息放在請求頭里,我們自定義了一個?HeaderAuthentication?從請求頭中獲取用戶的信息,我們下游服務就可以用?HeaderAuthentication?替換原來使用的 JWT 認證,這樣 JWT 只需要在網關處認證一次即可,下游服務不再需要驗證 token 的有效性以及解析這個 token。
之前提供了一個開源版本的 Header/QueryString Authentication 的實現,實現源碼:https://github.com/WeihanLi/AspNetCorePlayground/tree/master/WeihanLi.AspNetCore.Authentication
Authorization
什么是授權?授權顧名思義就是授予權限,允許查看或進行某種操作。
授權是嘗試對用戶授予訪問或操作權限的過程
如果一個資源是允許匿名訪問的,那么無論認證成功與否,無論有沒有用戶信息,都是可以授權訪問的
如果一個資源是需要用戶有某個角色(Manager)才能訪問的,那么首先我們應該先通過認證獲取用戶的信息,再判斷用戶是否有這個角色,如果有這個角色則允許授權,否則都不應授權訪問。
如果認證失敗就沒有用戶信息,沒有用戶信息,自然不可能具備 Manager 的角色,這時候就不應該授權訪問,如果用戶沒有認證成功,則需要用戶提供有效的認證信息(用戶可能沒有提供認證信息,也有可能是 token 過期等認證信息無效的錯誤),這時一般 Web 框架會返回?401 Unauthorized?,
如果用戶認證成功了,但是沒有相應的角色?Manager,這種情況 Web 框架一般會返回?403 Forbidden
如果用戶認證成功了,并且擁有?Manager?的角色,則說明用戶是有權限訪問資源的,這時應該授權用戶訪問。
一點嘮叨:
允許匿名訪問、需要用戶登錄才能訪問、需要某種角色才能訪問等這些都屬于授權,不屬于認證,就像允許匿名訪問,沒有用戶信息也可以訪問,但是并不影響認證的過程,用戶認證成功還是有用戶信息的。
Summary
認證是一個嘗試解決我是誰的問題的過程。
授權是嘗試對用戶授予訪問或操作權限的過程
More
最后安利一下,自己做的一個關于授權的項目?AccessControlHelper
AccessControlHelper?一個基于策略的授權解決方案,最早是基于 asp.net mvc 做的,實現了可以控制對 Action 的訪問和頁面上某個元素的訪問(Conditional Server Render),后來.netcore2.0 發布之后也支持了 .netcore,.netcore 下的支持更多一點,支持 .net core 下的?TagHelper?和?Policy,現在的實現還有不太好,感興趣的可以上去看看,歡迎 issue/pr ...
Github:?https://github.com/WeihanLi/AccessControlHelper
Reference
https://github.com/WeihanLi/AspNetCorePlayground/tree/master/WeihanLi.AspNetCore.Authentication
https://github.com/WeihanLi/AccessControlHelper
總結
- 上一篇: Quartz.net定时任务的使用及获取
- 下一篇: 【译】gRPC vs HTTP APIs