【发布时间】:2011-03-05 01:21:35
【问题描述】:
我正在实施一个协作网络画廊,我为每个用户分配了几个角色:
- 管理员
- 删除图片
- 删除OwnImage
- 等等..
对于任何控制器动作,我们可以将 [Authorize] 标签应用到它们以及我们想要允许的角色,对吗? Admin/DeleteImage 很好,因为这两个是全局的;但我的问题是,像 DeleteOwnImage 是一种上下文,为了确定它是否有效,我们需要:
- 了解它试图删除的图像(来自请求)
- 检索该图像的所有者(从服务或存储库)
- 比较当前用户 = 所有者
显然 [Authorize] 是不够的,但是否可以在自定义 ActionFilters 上做到这一点?有什么提示吗?
【问题讨论】:
标签: asp.net-mvc security action-filter actionfilterattribute