公认的答案似乎将角色定位为钝器，而声明定位为灵活的工具，但在其他方面使它们看起来几乎相同。不幸的是，这种定位有损于索赔的概念，并可能从根本上反映出对其目的的轻微误解。

Roles exist and make sense only within an implicit scope. Generally that is an application or organizational scope (i.e. Role=Administrator). Claims, on the other hand, can be 'made' by anyone. For example, Google authentication may produce claims including a user's "email", thus attaching that email to an identity. Google makes the claim, the application chooses whether to understand and accept that claim. The application itself might subsequently attach a claim called "authenticationmethod" (as ASP.NET MVC Core Identity does) with a value of "Google". Each claim includes a scope so that it's possible to identify whether a claim has meaning externally, locally, or both (or more fine grained as needed.)

关键点在于，所有声明都显式地附加到一个标识，并包括一个显式的范围。这些声明当然可以用于授权-和ASP。NET MVC通过Authorize属性提供了对此的支持，但这不是claim的唯一目的，甚至不一定是主要目的。它当然不会与role区分开来，后者可以以完全相同的方式用于本地范围的授权。

So one can choose to use Roles, or Claims, or both for the purpose of authorization and likely find no inherent advantage or disadvantage to either, so long as those Roles and Claims are locally scoped. But if, for instance, authorization depends upon external identity claims, then Roles will be inadequate. You would have to accept the external claim and translate it into a locally scoped role. There isn't necessarily anything wrong with that, but it introduces a layer of indirection and discards context.

RBAC和CBAC的基本原理是:

RBAC:用户必须被分配到某个角色，才能被授权执行某个操作。

CBAC:用户必须拥有应用程序所期望的具有正确值的声明，以获得授权。基于声明的访问控制编写起来很优雅，也更容易维护。

除此之外，索赔由您的应用程序信任的发出授权服务(安全服务令牌STS)发出给应用程序(依赖方)。

在决定哪种方法是最好的之前，首先分析身份验证需要什么是很重要的。来自基于声明的授权:

A claim is not what the subject can do. For example, you may have a driver's license, issued by a local driving license authority. Your driver's license has your date of birth on it. In this case the claim name would be DateOfBirth, the claim value would be your date of birth, for example 8th June 1970 and the issuer would be the driving license authority. Claims based authorization, at its simplest, checks the value of a claim and allows access to a resource based upon that value. For example if you want access to a night club the authorization process might be: The door security officer would evaluate the value of your date of birth claim and whether they trust the issuer (the driving license authority) before granting you access.

从这个例子我们可以看到,使用声明式授权访问几乎俱乐部退出不同的授权类型需要的员工在夜总会工作,在这种情况下,员工俱乐部需要一个基于角色的授权而不是必需的夜总会游客的夜总会的游客都有一个共同的目的在夜总会因此在这种情况下的声明式授权适用于夜总会游客。

来自基于角色的授权:

当创建一个标识时，它可能属于一个或多个角色。例如，Tracy可能属于管理员和用户角色，而Scott可能只属于用户角色。如何创建和管理这些角色取决于授权过程的备份存储区。角色通过ClaimsPrincipal类上的IsInRole方法向开发人员公开。

更广泛地说，您应该考虑基于属性的访问控制(ABAC)。RBAC和ABAC都是由美国国家标准与技术研究院(NIST)定义的概念。另一方面，CBAC是微软推出的一种模型，与ABAC非常相似。

点击此处阅读更多信息:

基于角色的访问控制NIST页面 基于属性的访问控制NIST页面

到目前为止，我已经实现了许多次安全模型，也不得不把我的脑袋绕在这些概念上。做过很多次，以下是我对这些概念的理解。

什么是角色

角色=用户和权限的并集。

一方面，Role是权限的集合。我喜欢称它为权限配置文件。当定义一个角色时，你基本上是在这个角色中添加了一堆权限，所以从这个意义上说，一个角色就是一个权限配置文件。

另一方面，Role也是用户的集合。如果我将Bob和Alice添加到角色“经理”中，那么“经理”现在包含两个用户的集合，有点像一个组。

事实上，角色既是用户的集合，也是权限的集合。从视觉上看，这可以看作是一个维恩图。

什么是组

组=用户的集合

“组”严格来说是用户的集合。组和角色的区别在于角色也有权限集合，而组只有用户集合。

什么是权限

权限=一个主体可以做什么

什么是权限集

权限集=权限的集合

在一个健壮的RBAC系统中，权限也可以像用户一样分组。“组”只是“用户”的集合，而“权限集”只是“权限”的集合。这允许管理员一次将整个权限集合添加到角色。

用户、组、角色和权限如何组合在一起

在健壮的RBAC系统中，可以将用户单独添加到角色中以创建角色中的用户集合，也可以将组添加到角色中以一次将用户集合添加到角色中。无论哪种方式，角色通过单独添加或向角色添加组或向角色添加用户和组的组合来获得用户集合。可以以同样的方式考虑权限。

可以将权限单独添加到角色中以创建角色内部的权限集合，或者可以将权限集添加到角色中。最后，可以将权限和权限集混合添加到角色中。无论采用哪种方式，角色都可以通过单独添加或向角色添加权限集来获得权限集合。

角色的全部目的是将用户与权限结合起来。Role是Users和Permissions的UNION。

什么是索赔

Claim =主语是什么

声明不是权限。正如前面的回答所指出的，Claim是主体“是”的，而不是主体“能做”的。

声明不会取代角色或权限，它们是可用于做出授权决策的附加信息。

何时使用索赔

我发现当需要做出授权决策时，当用户不能添加到角色或决策不是基于用户与权限的关联时，声明是有用的。Facebook用户的例子导致了这一点。Facebook用户可能不是被添加到“角色”的人……他们只是通过Facebook认证的访问者。尽管它不完全适合RBAC，但它是一个用于做出授权决策的信息。

@CodingSoft used the night club metaphor in a previous answer, which I'd like to extend. In that answer, the Driver's License was used as an example that contained a set of Claims where the Date of Birth represents one of the Claims and the value of the DateOfBirth Claim is used to test against the authorization rule. The government that issued the Driver's License is the authority that gives the Claim authenticity. Therefore, in a night club scenario, the bouncer at the door looks at the the person's Driver's License, ensures that it was issued by a trusted authority by examining whether or not it is a fake ID (i.e. must be valid government issued ID), then looks at the Date of Birth (one of the many claims on a Driver's License), then uses that value to determine if the person is old enough to enter the club. If so, the person passes the authorization rule by virtue of having a valid Claim, not by being in some Role.

现在，有了这个基础，我想进一步扩展。假设夜总会所在的建筑包含办公室、房间、厨房、其他楼层、电梯、地下室等，只有俱乐部的员工才能进入。此外，某些员工可能可以进入其他员工无法进入的某些地方。例如，经理可以访问其他员工无法访问的办公楼层。在本例中，有两个role。经理和员工。

正如上面所解释的那样，访客进入公共夜总会区域的权限由单一声明授权，但员工需要通过Role进入其他非公共限制房间。对他们来说，只有驾照是不够的。他们需要的是一个员工卡，他们扫描进门。在某个地方，有一个RBAC系统授予经理角色中的徽章进入顶层的权限，以及员工角色中的徽章进入其他房间的权限。

如果出于某种原因，Role需要添加/删除某些房间，可以使用RBAC来完成，但它不适合Claim。

软件中的权限

Coding Roles into the application is a bad idea. This hard codes the purpose of the Role into the application. What the application should have is just Permissions that act like Feature Flags. Where Feature Flags are made accessible by configuration, Permissions are made accessible by the User Security Context that is derived by the DISTINCT collection of Permissions gathered from all Roles the User has been placed in. This is what I call the "Effective Permissions." The application should only present a menu of possible Permissions to features / actions. The RBAC system should do the job of marrying those Permissions to Users through Roles. This way, there is no hard coding of Roles and the only time a Permission changes is when it is removed or a new one is added. Once a Permission is added to the software it should never be changed. It should only be removed when necessary (i.e. when a feature is discontinued in a new version) and only new ones can be added.

最后一点。

Grant vs Deny

一个健壮的RBAC系统甚至CBAC系统都应该区分grant和deny。

向角色添加权限应该带有GRANT或DENY。勾选“权限”后，所有授予的权限都应添加到“有效权限”的“用户”列表中。然后，在所有这些完成后，一个DENIED Permissions列表应该会导致系统从Effective Permissions列表中删除这些Permissions。

这允许管理员“调整”主题的最终权限。如果权限也可以直接添加到用户，那就最好了。通过这种方式，您可以将用户添加到经理角色，他们可以访问所有内容，但可能您希望拒绝访问女厕所，因为用户是男性。因此，您将男性用户添加到经理角色，并使用DENY向User对象添加权限，这样它只会剥夺女士的房间访问权。

实际上，这将是Claim的一个很好的候选者。如果用户有一个声明“性别=男性”，那么在经理角色中可以访问所有房间，但女厕所也要求声明性别=女性，男厕所要求声明性别=男性。通过这种方式，不必为男性用户配置DENY权限，因为Claim实施将使用单个授权规则为每个人配置DENY权限。然而，这两种方法都可以。

关键是使用拒绝权限，可以更容易地管理角色，因为可以实现异常。

下面是我很久以前制作的RBAC模型的图表。我没有声明的图表，但你可以想象它们只是附加到用户的属性，无论它们在哪里。此外，该图没有显示Groups(我需要在某个时候更新它)。

这是上面描述的RBAC的示意图

2019年4月7日更新 根据@Brent的反馈(谢谢)…删除了对之前答案的不必要引用，并解释了@CodingSoft提供的“夜总会”比喻的原始基础，以便使这个答案可以理解，而不必阅读其他答案。

公认的答案似乎将角色定位为钝器，而声明定位为灵活的工具，但在其他方面使它们看起来几乎相同。不幸的是，这种定位有损于索赔的概念，并可能从根本上反映出对其目的的轻微误解。

Roles exist and make sense only within an implicit scope. Generally that is an application or organizational scope (i.e. Role=Administrator). Claims, on the other hand, can be 'made' by anyone. For example, Google authentication may produce claims including a user's "email", thus attaching that email to an identity. Google makes the claim, the application chooses whether to understand and accept that claim. The application itself might subsequently attach a claim called "authenticationmethod" (as ASP.NET MVC Core Identity does) with a value of "Google". Each claim includes a scope so that it's possible to identify whether a claim has meaning externally, locally, or both (or more fine grained as needed.)

关键点在于，所有声明都显式地附加到一个标识，并包括一个显式的范围。这些声明当然可以用于授权-和ASP。NET MVC通过Authorize属性提供了对此的支持，但这不是claim的唯一目的，甚至不一定是主要目的。它当然不会与role区分开来，后者可以以完全相同的方式用于本地范围的授权。

So one can choose to use Roles, or Claims, or both for the purpose of authorization and likely find no inherent advantage or disadvantage to either, so long as those Roles and Claims are locally scoped. But if, for instance, authorization depends upon external identity claims, then Roles will be inadequate. You would have to accept the external claim and translate it into a locally scoped role. There isn't necessarily anything wrong with that, but it introduces a layer of indirection and discards context.