ASP.NET MVC控制器动作授权
问题描述:
刚开始使用ASP.NET MVC。我正在为我们的(FogBugz)帮助台系统开发客户门户。我知道用[Authorize]装饰我的ActionResults需要用户登录,但我不确定的是如何最好地确保用户只能访问自己的呼叫。ASP.NET MVC控制器动作授权
一旦用户被授权,我可以从用户对象获取他们的用户名,所以我应该将其从我的控制器传递到业务层并在那里授权,还是有更好的方法来做到这一点(如自定义的AuthorizeAttribute )?
答
我想你应该阅读下面这篇文章。它可能会帮助你找到正确的方法。
Rick Anderson @ MSDN Blog. 或 How do i create a custom AuthorizeAttribute that is specific to the the area, controller or action?
感谢的是,我已经通过这些文章阅读和建议是需要了解的。不过,我不确定它们与我的具体查询有关。我更感兴趣的是在AuthoriseAttribute或业务层中执行授权的位置。无论如何,我已决定将用户详细信息传递到业务层,并在那里验证权限,因为这似乎是最干净的方法。 – Nelson 2012-04-16 17:59:50