民间,
我的目标是围绕身份可以做什么以及在什么资源上实施一些安全/检查。基本上如下面的伪代码所示。 //假设entity.Name是主键&存储在Claims Principal中。
我的限制是ClaimsPrincipalPermissions属性附带的内容。
[CheckPermission(CurrentUser.Identity.Name == name)
public BankAccount GetByUser(string name)
{
}
[CheckPermission(CurrentUser.Identity.Name == entity.Name]
public void Update(User entity)
{
}
我已经对各种文章进行了评论: 最近的:How to pass method parameter into method's attribute value? http://leastprivilege.com/2012/10/26/using-claims-based-authorization-in-mvc-and-web-api/
我很害怕,我觉得我在这里遗漏了一些明显的东西。或者不是吗?
实施此类检查的最佳做法是什么?