标签: .net asp.net-web-api
我有一个包含用户和部门的类帐户。用户可以属于同一帐户中的多个部门。我希望用户只能访问其帐户中的记录。典型的请求如下:
http://localhost/api/department/5
我正在使用VS2013的SPA模板中提供的OAuth / Claims安全模型。我不希望每次请求都要访问数据库,以查看主叫用户是否是该帐户的成员,以及他们是否属于某个部门。有没有办法使用自定义授权属性和声明来完成此操作,或者实现此目的的最佳方法是什么?