我有一段时间没有使用ASP.Net,并且已经提供了asp.net Core 3.1,所以我决定将其用于新的集成应用程序。
在我的应用中,我暂时不使用JWT / cookie。 我想使用具有唯一值的简单访问令牌,通过它可以识别谁在调用我的应用,并确定调用者是否有权使用Controller / Action。
坦白地说,我无法理解新的asp.net核心授权文档(https://docs.microsoft.com/en-us/aspnet/core/security/authorization/introduction?view=aspnetcore-3.1) 我不想使用身份服务器。 我有自己的数据库,其中包含用户表,令牌表,如果需要,我可以在其中添加任何其他内容。
我想要的一切-用[Authorize]属性标记控制器/动作,并具有一种机制,该机制将从标头或url中提取access_token参数,并将其与数据库中的令牌进行比较,并返回true(如果有的话)好的,如果没有,那就是错误的。
我不明白,索赔,保单,角色代表什么,以及如何在我的带有访问令牌的方案中使用它们。有人可以解释吗?