代码之家  ›  专栏  ›  技术社区  ›  Omar

ASP.NET MVC检查用户是否可以执行操作

asp.net-mvc c#
  •  0
  • Omar  · 技术社区  · 15 年前

    我的数据库中有一组由不同用户创建的文章。

    • 每个用户都可以创建文章并只编辑他们的文章。

    • 要编辑他们的文章,用户可以导航到“文章/编辑文章”页面。post id=x“,其中x是post id。

    • “posts”控制器有一个'[authorize]'属性,get部分操作检查是否由用户进行了post。

    如果用户确实发布了日志,则会呈现视图。视图中有一个带有“postid”的隐藏字段。

    当用户提交表单时,操作的post部分将重新检查postid是否与当前登录用户创建的post匹配。

    有没有更好的方法可以做到这一点而不必再次检查用户是否有权编辑文章,或者这是最好的方法?

    2 回复  |  直到 15 年前
        1
  •  1
  •   Blair Scott    15 年前

    这对我来说真的很好。如果你不想检查用户两次,我唯一能建议的就是使用 anti-forgery token 用视图呈现。既然你只有在你被允许编辑文章的情况下才能进入视图,那么此时我想你需要做的就是检查文章是否来自你的站点。

        2
  •  0
  •   griegs    15 年前

    我也有同样的问题,但我通过移除在视图中编辑的功能来解决。一旦删除了编辑功能,我可以假设如果进行了编辑,那么用户就拥有了权限。

    我这样做是因为其他人,版主,也必须能够编辑帖子。

    很明显,这在互联网上可能不起作用,因为你可以绕过安全问题,但在公司内部网上,这是一种享受。

    我仍然认为我应该在业务层检查用户权限,但他们需要给我更多的钱和时间。:)

    推荐文章
    jpWebLearner  ·  BenchmarkDotNet与MVC操作控制器的结合使用
    1 年前
    PixelScribe  ·  实体框架EDMX未更新ASP.NET web应用程序中的连接字符串
    1 年前
    ankara  ·  带有添加条件组的任意位置滑块
    1 年前
    Akshay Malvankar  ·  我对在asp中使用asyn、await()和run()方法感到困惑。净mvc[关闭]
    2 年前
    Pablo  ·  为什么POST-request方法返回null,但GET-request返回正确的对象
    2 年前
    Alıyev Rufet  ·  无法构造某些服务(验证服务描述符的服务类型时出错:Restaurant.Data.IAppRepository
    2 年前
    Tom Rushton  ·  启动时路由错误。当ASP出现404或500错误时,cs不会重定向到控制器。NET核心MVC
    2 年前
    lasha  ·  对象引用未设置为对象的实例。在里面Net mvc框架[重复]
    2 年前
    Ken Janka  ·  迁移ASP。NET Core 5应用程序。6(使用最小网络托管模型)
    2 年前
    nnmmss  ·  根据查询字符串值激活li
    2 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号