在.NET中，什么是“Principal”？

在授权访问资源或运行某些代码时，仅知道哪个用户正在授权行动是不够的，还需要知道他们以什么角色进行授权。

可以将此视为提升 shell 的大致等效操作：尽管原始身份(用户账户)相同，但 shell 现在正在以不同的主体（具有更多权限）运行。

IIdentity 类型主要关注认证问题，即确认系统已知的身份确实属于想要在该身份下行事的代理人。这是授权任何事物的必要前提，但并非全部内容。

Principal是一种抽象的东西，封装了身份和角色，因此它是代码运行的安全上下文。这可以是Windows标识（即Windows或Active Directory用户帐户）和Windows“角色”，也称为“组”，也可以是独立于Windows用户和角色但仍可用于多个应用程序的身份/角色。第三，它还可以是在您的应用程序中定义的仅限自定义身份和角色的概念。

安全上下文不是静态的；通过调整Principal的角色，它可以被更改，因此给身份（用户）和在安全上下文下运行的应用程序提供更多或更少的特权。

以下是学习更多信息的好地方：https://msdn.microsoft.com/en-us/library/z164t8hs.aspx

描述已经说出来了，原则就是身份加角色。

实际上，这只是一件非常简单的事情。

public interface IPrincipal 
{
    IIdentity Identity { get; }
    bool IsInRole( string role );
}

将其抽象化的想法非常重要。虽然最初只有几个实现（包括 WindowsPrincipal、RolePrincipal 和 GenericPrincipal），但后来引入了其他实现方式（例如 ClaimsPrincipal）。许多旧代码可以无缝升级到新实现方式，获得所有好处，而不需要改变任何其他东西。