刚开始使用ASP.NET MVC。我正在为我们的(FogBugz)帮助台系统建立客户门户网站。我知道用[授权]装饰我的ActionResults将要求用户登录,但我不确定的是如何最好地确保用户只能访问他们自己的电话。
一旦用户获得授权,我就可以从User对象获取他们的用户名,因此我应该将其从我的控制器传递到业务层并在那里进行授权,还是有更好的方法来执行此操作(如自定义AuthorizeAttribute) ?
答案 0 :(得分:0)
我想你应该阅读下面这篇文章。它可能会帮助你找到正确的方法。
Rick Anderson @ MSDN Blog. 要么 How do i create a custom AuthorizeAttribute that is specific to the the area, controller or action?