ASP.NET、MVC4、授权：用户应该只看到自己的内容

Question

现在我的网站结构如下：

前端：网站\user1、网站\user2

后端：website\account\user1，website\account\user2

网站\帐户控制器应用了通用 [Authorize] 属性。这还不够，因为任何授权用户都可以通过访问 website\account\ url（如果他知道他的名字）来访问其他用户支持的功能。

解决此问题的最佳方法是什么？

到目前为止，我有两种方法：

1. 创建自定义 Authorize 属性，检查控制器上下文，从中提取用户信息并将其与 ASP.NET 中的当前授权用户进行比较：

    var currerntUserId = (long)System.Web.Security.Membership.GetUser().ProviderUserKey;
    return ExtractCurrentUserId(filterContext) == currerntUserId;
   

2. 从后端 URL 中删除部分并让所有用户访问 \account。当前用户信息将由 ASP.NET 框架提供。

Answer 1

这个怎么样？

路由/网站/我的帐户

[Authorize]
public class MyAccountController : Controller
{
    public ActionResult Index()
    {
        var userData = System.Web.Security.Membership.GetUser();
        // note you could also get this from db using this.User.Identity.Name
        return View(userData);
    }
}

通过这种方式控制授权要容易得多，因为我们没有通过路由参数将用户 ID 传递给操作方法。某人可以访问特定用户帐户的后端的唯一方法是作为该用户登录。

回复cmets：

为了回答您在 cmets 中关于更容易/更难/更好/我的偏好是什么的问题，我将继续做我的最终答案“视情况而定”。

这取决于数据的敏感性、管理员可以做哪些用户不允许做的事情（反之亦然）、需要保护多少控制器操作、公共/帐户/管理员的视图有多相似对数据的看法等。您的问题中陈述的几乎所有内容以及此处的所有答案都是有效的方法。您当然可以使用 ActionFilter 并保留用户 URL，或者您可以直接在操作方法中执行此操作（如果没有很多），更改您的 URL 架构，实现模拟（或不实现）等。

Answer 2

当您从数据存储区（很可能是数据库）中检索用户数据时，您应该只检索经过身份验证的用户的用户名的数据。在您的控制器中，这将为您提供当前经过身份验证的用户的用户名：

User.Identity.Name

所以你可以这样做：

return ExtractCurrentUserId(filterContext) == User.Identity.Name;

Answer 3

如果您将基于角色的身份验证与 SimpleMembership 一起使用，您可以执行以下操作并为用户提供应该能够访问某些控制器操作的角色：

public class MyAccountController : Controller
{
    [Authorize(Roles = "Admin")]
    public ActionResult User1()
    {
       // do user1 work
    }

    [Authorize]
    public ActionResult User2()
    {
       // do user2 work
    }
}