标签: c# asp.net-web-api asp.net-identity asp.net-authorization
我正在构建一个WebApi项目,我们必须超越简单的角色授权。 基本上,登录的用户应该只查看他/她创建的数据。数据可以是图像,帖子,文档等。 我看了WIF的说法,但我似乎不明白我如何使用它们来实现这种授权。我看到的所有实现几乎都专注于动作授权,而不是触及数据访问部分。 我觉得这是所有API的常见问题。 我怎么能这样做呢?
答案 0 :(得分:0)
实际上很简单
找出登录用户(获取附加到请求/主题的用户主体)
使用用户ID过滤您的API所做的任何数据请求(将用户ID作为参数传递给您的数据查询