是否有人能指出我正确的方向,或知道有关以下情况的好文章?
我有一个ASP核心站点,它对由“本地”超级用户设置的各个DB记录具有细粒度访问级别。从我在线阅读的各篇文章中,我得到的印象应该是基于资源的授权策略。我们来看这个例子:
//Delete Generic foo
public ActionResult Delete(int id){
//Deletes foo record based on Id,
//but only if the user has been given permission to the record with id == x
}
因此,我有一个与用户关联的所有foo ID的数组,存储在单个声明中。
"FooIds" : ["1", "3", "5"]
也许我离开了正确的轨道,这应该以完全不同的方式处理。不仅仅是执行功能检查需要很大的意志力,那么应该如何处理呢?我觉得这一定很常见。
感谢您的帮助!