二、代码解读

解读之前我们先来看看下面两种标注授权方式的代码：
 [Authorize]
 [HttpGet]
 public async Task<object> Get()
      var userId = User.UserId();
      return new
         name = User.Name(),
         userId = userId,
         displayName = User.DisplayName(),
         merchantId = User.MerchantId(),
代码中通过[Authorize]标注来限制该api资源的访问 
public void ConfigureServices(IServiceCollection services)
     //全局添加AuthorizeFilter 过滤器方式
     services.AddControllers(options=>options.Filters.Add(new AuthorizeFilter()));
     services.AddAuthorization();
     services.AddAuthentication("Bearer")
         .AddIdentityServerAuthentication(options =>
             options.Authority = "http://localhost:5000";    //配置Identityserver的授权地址
             options.RequireHttpsMetadata = false;           //不需要https    
             options.ApiName = OAuthConfig.UserApi.ApiName;  //api的name，需要和config的名称相同
         });
全局通过添加AuthorizeFilter过滤器方式进行全局api资源的限制 
AuthorizeAttribute 
先来看看AuthorizeAttribute源代码： 
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true, Inherited = true)]
public class AuthorizeAttribute : Attribute, IAuthorizeData
    /// <summary>
    /// Initializes a new instance of the <see cref="AuthorizeAttribute"/> class. 
    /// </summary>
    public AuthorizeAttribute() { }
    /// <summary>
    /// Initializes a new instance of the <see cref="AuthorizeAttribute"/> class with the specified policy. 
    /// </summary>
    /// <param name="policy">The name of the policy to require for authorization.</param>
    public AuthorizeAttribute(string policy)
       Policy = policy;
    /// <summary>
    /// 收取策略
    /// </summary>
    public string Policy { get; set; }
    /// <summary>
    /// 授权角色
    /// </summary>
    public string Roles { get; set; }
    /// <summary>
    /// 授权Schemes
    /// </summary>
    public string AuthenticationSchemes { get; set; }
代码中可以看到AuthorizeAttribute继承了IAuthorizeData抽象接口，该接口主要是授权数据的约束定义，定义了三个数据属性 
Prolicy ：授权策略
 Roles : 授权角色
 AuthenticationSchemes ：授权Schemes 的支持
 Asp.Net Core 中的http中间件会根据IAuthorizeData这个来获取有哪些授权过滤器，来实现过滤器的拦截并执行相关代码。
 我们看看AuthorizeAttribute代码如下： 
public interface IAuthorizeData
        /// <summary>
        /// Gets or sets the policy name that determines access to the resource.
        /// </summary>
        string Policy { get; set; }
        /// <summary>
        /// Gets or sets a comma delimited list of roles that are allowed to access the resource.
        /// </summary>
        string Roles { get; set; }
        /// <summary>
        /// Gets or sets a comma delimited list of schemes from which user information is constructed.
        /// </summary>
        string AuthenticationSchemes { get; set; }
我们再来看看授权中间件（UseAuthorization）的核心代码： 
public static IApplicationBuilder UseAuthorization(this IApplicationBuilder app)
    if (app == null)
        throw new ArgumentNullException(nameof(app));
    VerifyServicesRegistered(app);
    return app.UseMiddleware<AuthorizationMiddleware>();
代码中注册了AuthorizationMiddleware这个中间件，AuthorizationMiddleware中间件源代码如下： 
 public class AuthorizationMiddleware
        // Property key is used by Endpoint routing to determine if Authorization has run
        private const string AuthorizationMiddlewareInvokedWithEndpointKey = "__AuthorizationMiddlewareWithEndpointInvoked";
        private static readonly object AuthorizationMiddlewareWithEndpointInvokedValue = new object();
        private readonly RequestDelegate _next;
        private readonly IAuthorizationPolicyProvider _policyProvider;
        public AuthorizationMiddleware(RequestDelegate next, IAuthorizationPolicyProvider policyProvider)
            _next = next ?? throw new ArgumentNullException(nameof(next));
            _policyProvider = policyProvider ?? throw new ArgumentNullException(nameof(policyProvider));
        public async Task Invoke(HttpContext context)
            if (context == null)
                throw new ArgumentNullException(nameof(context));
            var endpoint = context.GetEndpoint();
            if (endpoint != null)
                // EndpointRoutingMiddleware uses this flag to check if the Authorization middleware processed auth metadata on the endpoint.
                // The Authorization middleware can only make this claim if it observes an actual endpoint.
                context.Items[AuthorizationMiddlewareInvokedWithEndpointKey] = AuthorizationMiddlewareWithEndpointInvokedValue;
            // 通过终结点路由元素IAuthorizeData来获得对于的AuthorizeAttribute并关联到AuthorizeFilter中
            var authorizeData = endpoint?.Metadata.GetOrderedMetadata<IAuthorizeData>() ?? Array.Empty<IAuthorizeData>();
            var policy = await AuthorizationPolicy.CombineAsync(_policyProvider, authorizeData);
            if (policy == null)
                await _next(context);
                return;
            // Policy evaluator has transient lifetime so it fetched from request services instead of injecting in constructor
            var policyEvaluator = context.RequestServices.GetRequiredService<IPolicyEvaluator>();
            var authenticateResult = await policyEvaluator.AuthenticateAsync(policy, context);
            // Allow Anonymous skips all authorization
            if (endpoint?.Metadata.GetMetadata<IAllowAnonymous>() != null)
                await _next(context);
                return;
            // Note that the resource will be null if there is no matched endpoint
            var authorizeResult = await policyEvaluator.AuthorizeAsync(policy, authenticateResult, context, resource: endpoint);
            if (authorizeResult.Challenged)
                if (policy.AuthenticationSchemes.Any())
                    foreach (var scheme in policy.AuthenticationSchemes)
                        await context.ChallengeAsync(scheme);
                    await context.ChallengeAsync();
                return;
            else if (authorizeResult.Forbidden)
                if (policy.AuthenticationSchemes.Any())
                    foreach (var scheme in policy.AuthenticationSchemes)
                        await context.ForbidAsync(scheme);
                    await context.ForbidAsync();
                return;
            await _next(context);
代码中核心拦截并获得AuthorizeFilter过滤器的代码




    
 
var authorizeData = endpoint?.Metadata.GetOrderedMetadata<IAuthorizeData>() ?? Array.Empty<IAuthorizeData>();
前面我分享过一篇关于 Asp.Net Core EndPoint 终结点路由工作原理解读 的文章里面讲解到通过EndPoint终结点路由来获取Controller和Action中的Attribute特性标注，这里也是通过该方法来拦截获取对于的AuthorizeAttribute的.
 而获取到相关authorizeData授权数据后，下面的一系列代码都是通过判断来进行AuthorizeAsync授权执行的方法,这里就不详细分享它的授权认证的过程了。
 细心的同学应该已经发现上面的代码有一个比较特殊的代码： 
if (endpoint?.Metadata.GetMetadata<IAllowAnonymous>() != null)
      await _next(context);
      return;
代码中通过endpoint终结点路由来获取是否标注有AllowAnonymous的特性，如果有则直接执行下一个中间件，不进行下面的AuthorizeAsync授权认证方法，
 这也是为什么Controller和Action上标注AllowAnonymous可以跳过授权认证的原因了。 
AuthorizeFilter 源码 
有的人会问AuthorizeAttirbute和AuthorizeFilter有什么关系呢？它们是一个东西吗？
 我们再来看看AuthorizeFilter源代码，代码如下： 
public class AuthorizeFilter : IAsyncAuthorizationFilter, IFilterFactory
        /// <summary>
        /// Initializes a new <see cref="AuthorizeFilter"/> instance.
        /// </summary>
        public AuthorizeFilter()
            : this(authorizeData: new[] { new AuthorizeAttribute() })
        /// <summary>
        /// Initialize a new <see cref="AuthorizeFilter"/> instance.
        /// </summary>
        /// <param name="policy">Authorization policy to be used.</param>
        public AuthorizeFilter(AuthorizationPolicy policy)
            if (policy == null)
                throw new ArgumentNullException(nameof(policy));
            Policy = policy;
        /// <summary>
        /// Initialize a new <see cref="AuthorizeFilter"/> instance.
        /// </summary>
        /// <param name="policyProvider">The <see cref="IAuthorizationPolicyProvider"/> to use to resolve policy names.</param>
        /// <param name="authorizeData">The <see cref="IAuthorizeData"/> to combine into an <see cref="IAuthorizeData"/>.</param>
        public AuthorizeFilter(IAuthorizationPolicyProvider policyProvider, IEnumerable<IAuthorizeData> authorizeData)
            : this(authorizeData)
            if (policyProvider == null)
                throw new ArgumentNullException(nameof(policyProvider));
            PolicyProvider = policyProvider;
        /// <summary>
        /// Initializes a new instance of <see cref="AuthorizeFilter"/>.
        /// </summary>
        /// <param name="authorizeData">The <see cref="IAuthorizeData"/> to combine into an <see cref="IAuthorizeData"/>.</param>
        public AuthorizeFilter(IEnumerable<IAuthorizeData> authorizeData)
            if (authorizeData == null)
                throw new ArgumentNullException(nameof(authorizeData));
            AuthorizeData = authorizeData;
        /// <summary>
        /// Initializes a new instance of <see cref="AuthorizeFilter"/>.
        /// </summary>
        /// <param name="policy">The name of the policy to require for authorization.</param>
        public AuthorizeFilter(string policy)
            : this(new[] { new AuthorizeAttribute(policy) })
        /// <summary>
        /// The <see cref="IAuthorizationPolicyProvider"/> to use to resolve policy names.
        /// </summary>
        public IAuthorizationPolicyProvider PolicyProvider { get; }
        /// <summary>
        /// The <see cref="IAuthorizeData"/> to combine into an <see cref="IAuthorizeData"/>.
        /// </summary>
        public IEnumerable<IAuthorizeData> AuthorizeData { get; }
        /// <summary>
        /// Gets the authorization policy to be used.
        /// </summary>
        /// <remarks>
        /// If<c>null</c>, the policy will be constructed using
        /// <see cref="AuthorizationPolicy.CombineAsync(IAuthorizationPolicyProvider, IEnumerable{IAuthorizeData})"/>.
        /// </remarks>
        public AuthorizationPolicy Policy { get; }
        bool IFilterFactory.IsReusable => true;
        // Computes the actual policy for this filter using either Policy or PolicyProvider + AuthorizeData
        private Task<AuthorizationPolicy> ComputePolicyAsync()
            if (Policy != null)
                return Task.FromResult(Policy);
            if (PolicyProvider == null)
                throw new InvalidOperationException(
                    Resources.FormatAuthorizeFilter_AuthorizationPolicyCannotBeCreated(
                        nameof(AuthorizationPolicy),
                        nameof(IAuthorizationPolicyProvider)));
            return AuthorizationPolicy.CombineAsync(PolicyProvider, AuthorizeData);
        internal async Task<AuthorizationPolicy> GetEffectivePolicyAsync(AuthorizationFilterContext context)
            // Combine all authorize filters into single effective policy that's only run on the closest filter
            var builder = new AuthorizationPolicyBuilder(await ComputePolicyAsync());
            for (var i = 0; i < context.Filters.Count; i++)
                if (ReferenceEquals(this, context.Filters[i]))
                    continue;
                if (context.Filters[i] is AuthorizeFilter authorizeFilter)
                    // Combine using the explicit policy, or the dynamic policy provider
                    builder.Combine(await authorizeFilter.ComputePolicyAsync());
            var endpoint = context.HttpContext.GetEndpoint();
            if (endpoint != null)
                // When doing endpoint routing, MVC does not create filters for any authorization specific metadata i.e [Authorize] does not
                // get translated into AuthorizeFilter. Consequently, there are some rough edges when an application uses a mix of AuthorizeFilter
                // explicilty configured by the user (e.g. global auth filter), and uses endpoint metadata.
                // To keep the behavior of AuthFilter identical to pre-endpoint routing, we will gather auth data from endpoint metadata
                // and produce a policy using this. This would mean we would have effectively run some auth twice, but it maintains compat.
                var policyProvider = PolicyProvider ?? context.HttpContext.RequestServices.GetRequiredService<IAuthorizationPolicyProvider>();
                var endpointAuthorizeData = endpoint.Metadata.GetOrderedMetadata<IAuthorizeData>() ?? Array.Empty<IAuthorizeData>();
                var endpointPolicy = await AuthorizationPolicy.CombineAsync(policyProvider, endpointAuthorizeData);
                if (endpointPolicy != null)
                    builder.Combine(endpointPolicy);
            return builder.Build();
        /// <inheritdoc />
        public virtual async Task OnAuthorizationAsync(AuthorizationFilterContext context)
            if (context == null)
                throw new ArgumentNullException(nameof(context));
            if (!context.IsEffectivePolicy(this))
                return;
            // IMPORTANT: Changes to authorization logic should be mirrored in security's AuthorizationMiddleware
            var effectivePolicy = await GetEffectivePolicyAsync(context);
            if (effectivePolicy == null)
                return;
            var policyEvaluator = context.HttpContext.RequestServices.GetRequiredService<IPolicyEvaluator>();
            var authenticateResult = await policyEvaluator.AuthenticateAsync(effectivePolicy, context.HttpContext);
            // Allow Anonymous skips all authorization
            if (HasAllowAnonymous(context))
                return;
            var authorizeResult = await policyEvaluator.AuthorizeAsync(effectivePolicy, authenticateResult, context.HttpContext, context);
            if (authorizeResult.Challenged)
                context.Result = new ChallengeResult(effectivePolicy.AuthenticationSchemes.ToArray());
            else if (authorizeResult.Forbidden)
                context.Result = new ForbidResult(effectivePolicy.AuthenticationSchemes.ToArray());
        IFilterMetadata IFilterFactory.CreateInstance(IServiceProvider serviceProvider)
            if (Policy != null || PolicyProvider != null)
                // The filter is fully constructed. Use the current instance to authorize.
                return this;
            Debug.Assert(AuthorizeData != null);
            var policyProvider = serviceProvider.GetRequiredService<IAuthorizationPolicyProvider>();
            return AuthorizationApplicationModelProvider.GetFilter(policyProvider, AuthorizeData);
        private static bool HasAllowAnonymous(AuthorizationFilterContext context)
            var filters = context.Filters;
            for (var i = 0; i < filters.Count; i++)
                if (filters[i] is IAllowAnonymousFilter)
                    return true;
            // When doing endpoint routing, MVC does not add AllowAnonymousFilters for AllowAnonymousAttributes that
            // were discovered on controllers and actions. To maintain compat with 2.x,
            // we'll check for the presence of IAllowAnonymous in endpoint metadata.
            var endpoint = context.HttpContext.GetEndpoint();
            if (endpoint?.Metadata?.GetMetadata<IAllowAnonymous>() != null)
                return true;
            return false;
代码中继承了 IAsyncAuthorizationFilter, IFilterFactory两个抽象接口，分别来看看这两个抽象接口的源代码




    
 
IAsyncAuthorizationFilter源代码如下： 
/// <summary>
/// A filter that asynchronously confirms request authorization.
/// </summary>
public interface IAsyncAuthorizationFilter : IFilterMetadata
    ///定义了授权的方法
    Task OnAuthorizationAsync(AuthorizationFilterContext context);
IAsyncAuthorizationFilter代码中继承了IFilterMetadata接口，同时定义了OnAuthorizationAsync抽象方法,子类需要实现该方法，然而AuthorizeFilter中也已经实现了该方法，稍后再来详细讲解该方法，我们再继续看看IFilterFactory抽象接口,代码如下： 
public interface IFilterFactory : IFilterMetadata
    bool IsReusable { get; }
    //创建IFilterMetadata 对象方法
    IFilterMetadata CreateInstance(IServiceProvider serviceProvider);
我们回到AuthorizeFilter 源代码中，该源代码中提供了四个构造初始化方法同时包含了AuthorizeData、Policy属性，我们看看它的默认构造方法代码 
public class AuthorizeFilter : IAsyncAuthorizationFilter, IFilterFactory
        public IEnumerable<IAuthorizeData> AuthorizeData { get; }
        //默认构造函数中默认创建了AuthorizeAttribute 对象
        public AuthorizeFilter()
            : this(authorizeData: new[] { new AuthorizeAttribute() })
        //赋值AuthorizeData
        public AuthorizeFilter(IEnumerable<IAuthorizeData> authorizeData)
            if (authorizeData == null)
                throw new ArgumentNullException(nameof(authorizeData));
            AuthorizeData = authorizeData;
上面的代码中默认的构造函数默认给构建了一个AuthorizeAttribute对象，并且赋值给了IEnumerable的集合属性;
 好了，看到这里AuthorizeFilter过滤器也是默认构造了一个AuthorizeAttribute的对象，也就是构造了授权所需要的IAuthorizeData信息.
 同时AuthorizeFilter实现的OnAuthorizationAsync方法中通过GetEffectivePolicyAsync这个方法获得有效的授权策略，并且进行下面的授权AuthenticateAsync的执行
 AuthorizeFilter代码中提供了HasAllowAnonymous方法来实现是否Controller或者Action上标注了AllowAnonymous特性，用于跳过授权
 HasAllowAnonymous代码如下： 
private static bool HasAllowAnonymous(AuthorizationFilterContext context)
     var filters = context.Filters;
     for (var i = 0; i < filters.Count; i++)
        if (filters[i] is IAllowAnonymousFilter)
           return true;
     //同样通过上下文的endpoint 来获取是否标注了AllowAnonymous特性
     var endpoint = context.HttpContext.GetEndpoint();
     if (endpoint?.Metadata?.GetMetadata<IAllowAnonymous>() != null)
        return true;
     return false;
到这里我们再回到全局添加过滤器的方式代码： 
 services.AddControllers(options=>options.Filters.Add(new AuthorizeFilter()));
分析到这里 ，我很是好奇，它是怎么全局添加进去的呢？我打开源代码看了下，源代码如下： 
public class MvcOptions : IEnumerable<ICompatibilitySwitch>
        public MvcOptions()
            CacheProfiles = new Dictionary<string, CacheProfile>(StringComparer.OrdinalIgnoreCase);
            Conventions = new List<IApplicationModelConvention>();
            Filters = new FilterCollection();
            FormatterMappings = new FormatterMappings();
            InputFormatters = new FormatterCollection<IInputFormatter>();
            OutputFormatters = new FormatterCollection<IOutputFormatter>();
            ModelBinderProviders = new List<IModelBinderProvider>();
            ModelBindingMessageProvider = new DefaultModelBindingMessageProvider();
            ModelMetadataDetailsProviders = new List<IMetadataDetailsProvider>();
            ModelValidatorProviders = new List<IModelValidatorProvider>();
            ValueProviderFactories = new List<IValueProviderFactory>();
        //过滤器集合
        public FilterCollection Filters { get; }
FilterCollection相关核心代码如下： 
public class FilterCollection : Collection<IFilterMetadata>
        public IFilterMetadata Add<TFilterType>() where TFilterType : IFilterMetadata
            return Add(typeof(TFilterType));
        //其他核心代码为贴出来
代码中提供了Add方法，约束了IFilterMetadata类型的对象，这也是上面的过滤器中为什么都继承了IFilterMetadata的原因。
 到这里代码解读和实现原理已经分析完了，如果有分析不到位之处还请多多指教！！！ 
结论：授权中间件通过获取IAuthorizeData来获取AuthorizeAttribute对象相关的授权信息，并构造授权策略对象进行授权认证的，而AuthorizeFilter过滤器也会默认添加AuthorizeAttribute的授权相关数据IAuthorizeData并实现OnAuthorizationAsync方法，同时中间件中通过授权策略提供者IAuthorizationPolicyProvider来获得对于的授权策略进行授权认证. 
原文链接：https://blog.csdn.net/qq_41872328/article/details/122842873
                    IdentityServer4已经分享了一些应用实战的文章，从架构到授权中心的落地应用，也伴随着对IdentityServer4掌握了一些使用规则，但是很多原理性东西还是一知半解，故我这里持续性来带大家一起来解读它的相关源代码，本文先来看看为什么Controller或者Action中添加Authorize或者全局中添加AuthorizeFilter过滤器就可以实现该资源受到保护，需要通过access_token才能通过相关的授权呢？
				ASP.NET Core MVC 2.1、3.1和5.0中基于角色的动态授权
 您已经知道ASP.NET Core中基于角色的授权是如何工作的。 
[ Authorize ( Roles = " Administrator " )]
public class AdministrationController : Controller
 但是，如果您不希望在Authorize属性上使用硬编码角色或以后再创建角色，并指定在不接触源代码的情况下可以访问哪个控制器和动作，该怎么办？
 DynamicAuthorization可帮助您以最小的努力为没有授权角色的用户授予Authorize属性的Authorize 。 DynamicAuthorization建立在ASP.NET Core身份的顶部，并使用身份机制来管理角色和授权用户。
 安装DynamicAuthorization.Mvc.C
				Asp.Net Core中虽然集成了许多常用的身份认证，但很多时候，我们还是需要实现自己的身份认证接口，本文这里就简单的介绍下如何实现自定义身份认证接口。
首先写一个简单的接口。
[Authorize]
[HttpGet]
public object Foo()
  return DateTime.Now.ToString();
由于有Authorize标记，访问函数体前会判断用户是否通过认证，由于这里没有通过认证，会的得到一个500错误。
自定义认证处理类：
实现一个IAuthenticationHandler接口即可：
public class MyAuthHandler :
  string Policy { get; set; }
  string Roles { get; set; }
  string AuthenticationSchemes { get; set; }
接口中定义的三个属性分别代表了三种授权类型：
1、基于角色的授权：
[Authorize(Roles = "Admin")] // 多个Role可以使用,分割
public class SampleDataController : Controller
  企业微信的用户，用户名为企业微信的userid
每类用户中部分人员具有“Admin”角色
因为企业微信的用户有可能同时是微信公众号用户，即一个人两个名，所以需要多用户验证和授权。咱用代码说话最简洁，如下所示：
public class DemoController : Controller
 /// <summary>
 /// 企业微信用户使用的模块
				在本章中，我们将讨论Authorize特性。 到目前为止，在我们的应用程序中，我们允许匿名用户做任何事情。 他们可以编辑员工详细信息，查看详细信息，但我们没有创建新员工的功能。 让我们先添加创建功能，然后我们将使用Authorize属性限制用户访问。
我们需要首先在Views→Home文件夹中创建一个新的MVC View页面，并调用Create.cshtml然后添加以下代码。
				使用Authorize特性进行身份验证
　　通常情况下，应用程序都是要求用户登录系统之后才能访问某些特定的部分。在ASP.NET MVC中，可以通过使用Authorize特性来实现，甚至可以对整个应用程序全局使用Authorize特性。
Authorize的用法
本节以一个添加产品的示例来说明Authorize的使用方法。首先，创建Product类、添加属性（如下所示）并创建ProductsC...
				对于需要认证的控制器我们需要添加上[Authroize]特性，对每一个控制器我们都得添加这样一个特性，相信大部分童鞋都是这么干的。其实我们大可反向操作，对于无需认证的我们添加可匿名访问特性即可，而需要认证的控制器我们进行全局配置认证过滤器，如下：
    startup.cs
 public IServiceProvider ConfigureServices(IServiceCol...
				上一章的结尾留下了一个问题：同样是ObjectResult，在执行的时候又是如何被转换成string和JSON两种格式的呢？
本章来解答这个问题，这里涉及到一个名词：“内容协商”。除了这个，本章将通过两个例子来介绍如何自定义IActionResult和格式化类。(ASP.NET Core 系列目录)
一、内容协商
依然以返回Book类型的Action为例，看看它是怎么被转换为JSO...
这来自于我把项目迁移到Asp.Net Core的过程中碰到一个问题。在一个web程序中同时包含了MVC和WebAPI，现在需要给WebAPI部分单独添加一个接口验证过滤器IActionFilter，常规做法一般是写好过滤器后给需要的控制器挂上这个标签，高级点的做法是注册一个全局过滤器，这样可以避免每次手动添加同时代码也更好管理。注册全局过滤器的方式为：
 services.AddMvc(options =>
        options.Filters.Add(typeof(.
				ASP.NET MVC使用Authorize过滤器验证用户登录。Authorize过滤器首先运行在任何其它过滤器或动作方法之前，主要用来做登录验证或者权限验证。
示例：使用Authorize过滤器实现简单的用户登录验证。
1、创建登录控制器LoginController
/// &lt;summary&gt;
/// 登录控制器
/// &lt;/summary&gt;
[AllowAno...
				我们通过定义授权策略，查看源码发现，在对授权配置之后，授权系统通过DI的方式注册了几个核心的默认实现。添加授权策略服务使用方法，以便调用。从源码可以发现，从core3.0后，由之前在core2.0中的文件中，原来的的方法变为了方法，微软在这一块进行了封装在文件中，沿用了之前拓展名称，不影响之前版本的使用。
由上可知，在调用方法进行授权配置的时候，需要使用到委托方式传参。所以我们再来看看下面这一行代码，通过实现添加策略方式。
通过上图可以把Policy(策略)加入到了AuthorizationOptions
				ASP.NET Core JWT (JSON Web Token) 是一种用于在不同系统之间安全地传输信息的开放标准。它可以在不同的应用程序中传递身份验证和授权信息，以确保安全性。
在 ASP.NET Core 中，你可以使用 Microsoft.AspNetCore.Authentication.JwtBearer 包来实现 JWT 鉴权。首先要生成 JWT Token，可以使用 JwtSecurityTokenHandler 类生成，然后将其返回给客户端。在客户端发起请求时，可以将 Token 作为 Authorization 头的 Bearer 方式发送过来。服务端可以使用 AddJwtBearer 方法添加 JWT 鉴权，然后使用 [Authorize] 特性进行身份验证。
需要注意的是，JWT 只能加密信息，但是不能确保信息的完整性，因此在使用 JWT 时需要小心。可以通过添加数字签名来确保信息的完整性。