【问题标题】:how to implement a WebApi authorisation that will return only user's data如何实现仅返回用户数据的 WebApi 授权
【发布时间】:2016-05-31 12:28:20
【问题描述】:

我正在构建一个 WebApi 项目,我们必须超越简单的角色授权。 基本上,登录的用户应该只查看他/她创建的数据。数据可以是图像、帖子、文档等。 我查看了 WIF 的声明,但我似乎不明白如何使用它们来实现这种授权。我见过的所有实现几乎都专注于动作授权,而不涉及数据访问部分。 我觉得这是所有 API 的常见问题。 我该怎么做?

【问题讨论】:

    标签: c# asp.net-web-api asp.net-identity asp.net-authorization


    【解决方案1】:

    其实很简单

    • 找出登录用户(获取附加到请求/线程的用户主体)

    • 使用用户 ID 过滤您的 API 发出的任何数据请求(将用户 ID 作为参数传递给您的数据查询

    【讨论】:

    • 您如何看待此实施中的角色?我的服务中会有很多重复的代码。
    • 你没有解释数据过滤问题中的“角色”是做什么的?
    • 角色帮助确定每个逻辑的授权逻辑。
    猜你喜欢
    • 2016-05-10
    • 2018-01-01
    • 2014-01-09
    • 1970-01-01
    • 2020-07-03
    • 1970-01-01
    • 2020-02-03
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多