我正在开发一个内容管理系统,我有一个控制器,显示分配给当前登录用户的所有文章供他审阅,然后用户可以批准或拒绝本文。为了确保用户只看到分配给他的文章,我编写了以下查询: -
public IQueryable<Article> MyApproval()
{
Guid id = (Guid)Membership.GetUser().ProviderUserKey;
return from article in db.Articles
where article.Approval_ID == id && article.Article_status_ID == 1 // 1 represents new articles in Article_status table
orderby article.Article_ID descending
select article;
}
但是我发现用户可能会手动修改URL并将文章ID更改为他未分配给的文章,然后他可以批准或拒绝它;所以我在编辑操作方法之前添加以下检查
[Authorize]
public ActionResult Edit(int id)
{
Article articleapproval = articletyperepository.GetArticle(id);
if (!articleapproval.Isapproval(User.Identity.Name))
return View(“InvalidOwner”);
else
{
articleapproval.Published_Date = DateTime.Now;
return View(articleapproval);}
}
}
所以我有以下三个问题: -
检查控制器级别是否会阻止用户修改URL并访问他未指定的文章
我是否应该在编辑操作方法的POST版本上添加以下检查(除了GET版本),还是会被视为不必要的检查?
if (!articleapproval.Isapproval(User.Identity.Name))
return View(“InvalidOwner”);
最好将User.Identity.Name传递给帮助方法(正如我目前所做的那样)?或者修改辅助方法以在其中生成User.Identity.Name,如下所示?
public partial class Article
{
public bool Isapprova ()
{
return HostedBy.Equals(User.Identity.Name, StringComparison.OrdinalIgnoreCase);}
}
}
答案 0 :(得分:1)
控制器级别的检查是否会阻止用户进行修改 URL并访问他未分配给
的文章
是
我应该在编辑操作的POST版本上添加以下检查 方法也(除了GET版本),或者它将被考虑 作为不必要的检查?
你应该同时检查GET和POST
最好将User.Identity.Name传递给辅助方法(如 我现在在做什么)?或者修改helper方法来生成 其中的User.Identity.Name如下?
帮助方法不需要知道如何检索当前用户的名称。你的实施很好。