MVC - 只允许用户编辑自己的数据

Question

我正在编写一个具有相对复杂数据模型的 MVC 5 应用程序。

我有列表，列表有与之关联的相册。

首先，我只是确保当用户尝试调用控制器的编辑功能时，该用户是对象的所有者。像这样：

     // Listing Controller
public bool VerifyOwnership(int? id)
        {
            if (id == null) return false;

            Listing listingModel = db.Listings.Find(id);
            if (listingModel == null)
            {
                return false;
            }
            else
            {
                return User.Identity.GetUserId() == listingModel.SellerID;
            }
        }

但是，此检查现在在我的代码库中传播。由于相册归商家信息所有，所以这段代码对我来说并不糟糕：

// AlbumController    
public ActionResult Edit(int? id, int listingId)
        {
            if (id == null)
            {
                return new HttpStatusCodeResult(HttpStatusCode.BadRequest);
            }
            Album a = db.Albums.Find(id);
            if (a == null)
            {
                return HttpNotFound();
            }

            var l = new ListingController();
            if (!l.VerifyOwnership(listingId))
                return new HttpStatusCodeResult(HttpStatusCode.Forbidden);


            ViewBag.ListingID = listingId;

            return View(a);
        }

我认为我这样做错。

理想情况下，Album 控制器似乎不会仅仅为了检查所有权而实例化一个 ListingController。我可以从ListingController 中复制所有权逻辑并将其粘贴到AlbumController 中，但现在我正在复制粘贴代码。呸。

我阅读了这篇关于制作自定义 Authorize 属性的文章 - ASP.NET MVC Attribute to only let user edit his/her own content，这似乎没问题，只是我不确定如何在 AuthorizeCore 覆盖中实例化 ApplicationDbContext 对象，以便我可以查找列表的所有者并执行我的支票。可以随便创建 ApplicationDbContext 对象吗？它们与持久数据库连接相关还是抽象？

Answer 1

这就是你出错的地方......

 Album a = db.Albums.Find(id);

我可以输入任何 ID，您的应用会去获取它，然后执行不需要的所有权验证...

从另一端解决问题，如果我们首先根据用户可以访问的内容来确定结果的范围，然后在用户可以访问的范围内搜索相册。这里有几个例子可以让你理解我的意思。

db.Users.Where(user => user.Id == this.CallerId)
        .SelectMany(user => user.Albums)
        .Where(album => album.Id == "foo");

db.Albums.Where(album => album.OwnerId == this.CallerId)
         .Where(album => album.Id == "bar");

这一切都将归结为您的数据库的布局以及您映射实体模型的方式，但概念是相同的。