.NET中的身份认证(Authentication)与授权(Authorization)是什么？如何使用Identity框架？

.NET中的身份认证（Authentication）和授权（Authorization）是构建安全应用的两个核心机制。身份认证确认用户是谁，授权决定已认证的用户能访问哪些资源或执行哪些操作。在实际开发中，这两个过程通常配合使用，确保只有合法用户在权限范围内进行操作。

身份认证与授权的基本概念

身份认证（Authentication） 是验证用户身份的过程。比如用户输入用户名和密码，系统检查是否匹配，若匹配则认为该用户身份合法。.NET支持多种认证方式，如Cookie认证、JWT Bearer认证、第三方登录（Google、Facebook等）。

授权（Authorization） 发生在认证之后，用于控制用户可以访问的资源。例如，管理员可以删除数据，普通用户只能查看。.NET通过角色（Role）、策略（Policy）等方式实现精细的权限控制。

使用ASP.NET Core Identity框架

Identity 是 ASP.NET Core 提供的一套完整的用户管理框架，内置了用户注册、登录、密码管理、角色管理等功能，适合大多数Web应用的需求。

1. 添加Identity到项目
创建一个新的 ASP.NET Core Web 应用，在创建时选择“Individual Account”（单独用户账户），Visual Studio 会自动配置 Identity。或者手动添加：

dotnet add package Microsoft.AspNetCore.Identity.EntityFrameworkCore
dotnet add package Microsoft.EntityFrameworkCore.SqlServer

然后在 Program.cs 中注册服务：

var builder = WebApplication.CreateBuilder(args);
builder.Services.AddDbContext<ApplicationDbContext>(options =>
    options.UseSqlServer(builder.Configuration.GetConnectionString("DefaultConnection")));
builder.Services.AddIdentity<IdentityUser, IdentityRole>()
    .AddEntityFrameworkStores<ApplicationDbContext>()
    .AddDefaultTokenProviders();
var app = builder.Build();
// 启用认证和授权中间件
app.UseAuthentication();
app.UseAuthorization();

2. 配置数据库上下文
创建一个继承自 IdentityDbContext 的类：

public class ApplicationDbContext : IdentityDbContext
{
    public ApplicationDbContext(DbContextOptions<ApplicationDbContext> options) : base(options)
    {
    }
}

使用 EF Core 迁移生成数据库表：

dotnet ef migrations add CreateIdentitySchema
dotnet ef database update

3. 使用内置页面或API进行登录/注册
Identity 支持 Razor Pages UI。可通过脚手架添加登录、注册页面：

也可以通过控制器实现 API 登录：

[ApiController]
[Route("[controller]")]
public class AccountController : ControllerBase
{
    private readonly SignInManager<IdentityUser> _signInManager;
    public AccountController(SignInManager<IdentityUser> signInManager)
    {
        _signInManager = signInManager;
    }
    [HttpPost("login")]
    public async Task<IActionResult> Login(LoginModel model)
    {
        var result = await _signInManager.PasswordSignInAsync(
            model.Username, model.Password, false, false);
        if (result.Succeeded)
        {
            return Ok("登录成功");
        }
        return Unauthorized();
    }
}

实现授权控制

在控制器或 Razor 页面上使用特性来限制访问：

[Authorize] // 要求用户已登录
public class SecureController : Controller
{
    [Authorize(Roles = "Admin")]
    public IActionResult DeleteUser()
    {
        return View();
    }
    [Authorize(Policy = "MustBeOver18")]
    public IActionResult AdultContent()
    {
        return View();
    }
}

自定义授权策略
在 Program.cs 中定义策略：

builder.Services.AddAuthorization(options =>
{
    options.AddPolicy("MustBeOver18", policy =>
        policy.RequireClaim("age", "18", "21", "25"));
});

或基于更复杂的逻辑使用 IAuthorizationHandler。

基本上就这些。Identity 框架简化了用户管理，结合认证与授权机制，能快速构建安全的 .NET 应用。不复杂但容易忽略细节，比如中间件顺序和策略配置。