.net中的认证(authentication)与授权(authorization)

本文转载：http://www.cnblogs.com/yjmyzz/archive/2010/08/29/1812038.html

“认证”与“授权”是几乎所有系统中都会涉及的概念，通俗点讲：

认证(authentication) 就是 "判断用户有没有登录?"，好比windows系统，没登录就无法使用(不管你是用Administrator或Guest用户，总之要先正确登录后，才能进入系统).

授权(authorization) 就是"用户登录后的身份/角色识别"，好比"管理员用户"登录windows后，能安装软件、修改windows设置等所有操作，而Guest用户登录后，只有做有限的操作(比如安装软件就被禁止了).

.net中与"认证"对应的是IIdentity接口，而与"授权"对应的则是IPrincipal接口，这二个接口的定义均在命名空间System.Security.Principal中：