参考 :
https://www.cnblogs.com/RainingNight/p/authorization-in-asp-net-core.html
https://www.cnblogs.com/RainingNight/p/authorize-how-to-work-in-asp-net-core.html
https://www.cnblogs.com/RainingNight/p/dynamic-authorization-in-asp-net-core.html
这 3 篇基本上已经讲完了.
对比 .net 4.x 主要是多了 policy, requirement, authoService
一个 policy 表示多个 requirement
一个 requirement 表示多种断言, 比如有没有 claim, 有没有 role 等等
同一个 requirement 还能有不同的验证逻辑.
policy 还有一个合并与其它 policy 的能力. 非常灵活.