【发布时间】:2017-01-16 09:22:13
【问题描述】:
免责声明 这个问题是概念性的,而不是技术导向的,但为了清楚起见,我们正在开发一个基于 .NET MVC 和 WebApi 系统的 Angular 应用程序。 p>
我们目前正在使用我们自己的AuthorizeAttribute 实现授权逻辑。
权限存储在数据库中,因为它们是动态的,而不是面向角色的。 在当前设计下,每次用户想要访问安全页面/API 时,我们都会查询数据库。
我的猜测是,从性能角度来看,一旦用户登录就获得所有权限并从内存中读取它们会更好。 但是,如果有人在用户工作时更改了用户权限,则不会反映新的权限。
这里的最佳做法是什么? 访问每个请求的数据库“只是”检查权限? 我遗漏的任何其他副作用或注意事项?
【问题讨论】:
标签: .net asp.net-mvc performance security asp.net-web-api