如何使用Breeze JS处理授权？

Breeze可以根据需要拥有尽可能多的“保存”端点。例如，虚拟的服务器实现可能

[BreezeController] 
public class MyController : ApiController { 

    [HttpPost] 
    [Authorize(...)] 
    public SaveResult SaveCustomersAndOrders(JObject saveBundle) { 
    // CheckCustomersAndOrders would be a custom method that validates your data 
    ContextProvider.BeforeSaveEntitiesDelegate = CheckCustomerAndOrders; 
    return ContextProvider.SaveChanges(saveBundle); 
    } 

    [HttpPost] 
    [Authorize] 
    public SaveResult SaveSuppliersAndProducts(JObject saveBundle) { 
    ... 
    } 

你会叫这些端点这样

VAR所以=新SaveOptions（{资源名称： “SaveWithFreight2”，标签： “运费更新”}）;

myEntityManager.saveChanges(customerAndOrderEntities, { 
    resourceName: "SaveCustomersAndOrder" } 
    ).then(...) 

或

myEntityManager.saveChanges(supplierAndProductEntities, { 
    resourceName: "SaveSuppliersAndProducts" } 
    ).then(...) 

授权经由每个的[HttpPost]方法[授权]属性介导。您可以在这里阅读更多关于[Authorize]属性的信息： http://sixgun.wordpress.com/2012/02/29/asp-net-web-api-basic-authentication/

但是，如果我没有错，微风js只支持一个批量保存。

这是完全错误的。你可以*创造你自己的保存方法。阅读文档，它就在那里。

做到这一点的正确方法是分离端点授权和数据库操作授权。

首先，创建一个管理每个控制器/方法和角色的实体。对于每种方法，您都有一个允许值 - 不允许用于特定角色。您可以创建一个特殊的属性（Authorize的子类），并将其应用于控制器（breeze或plain web api），该控制器读取数据并确定是否可以为用户/角色调用特定的端点。否则，它会抛出未经授权的异常。

在微风中端（客户端）您扩展与从您在登录时收到的，像这样的身份将认证报头的方法默认适配器设置：

VAR origAjaxCtor = breeze.config.getAdapterInstance（ 'AJAX'）;

$ .extend（true，origAjaxCtor.defaultSettings，Security.getAuthenticationHeaders（））;

在服务器上，添加管理CRUD操作授权的第二个实体。您需要一个表（如EntityName，AllowInsert，AllowUpdate，AllowDelete）。在上下文管理器或ORM（EF或其他）上添加一个BeforeSave事件，该事件循环所有实体并应用上表中指定的策略。 通过这种方式，您可以将端点逻辑与后端CRUD逻辑清楚地分离。

在所有情况下，授权逻辑首先应该在服务器端实现，如果需要的话应该推送给客户端。

微风的实施方式和上述设计，你不应该需要超过1个保存端点。

希望它有帮助。