MVC: User Verification

Question

У меня есть простое приложение mvc, где я бы хотел проверить логин пользователя для каждой загрузки страницы. Несмотря на то, что это вход в систему на основе сеанса, я все равно хочу проверить, что информация находится в безопасности.

Мой вопрос: где должна проверяться функция пользователя? Должен ли он работать в контроллере, который выполняется перед запросом контроллера?

Answer 1

Я не совсем понимаю, что вы подразумеваете под «быть в безопасности», я хотел бы каждый раз проверять информацию ». Что такое «информация», за пределами токена вы намерены «проверить»? Это должно быть излишним: если пользователь дает токен, который вы, например, узнаете от IP-адреса, который вы ему выдали, дальнейшая проверка не требуется.

Что касается второго вопроса, в любом приложении MVC всегда будет сказано «несколько предварительных предварительных условий»: получение строки URL (и любых параметров GET/POST), убедившись, что они как ожидалось, и, да, подтверждать токен сеанса, чтобы быть уверенным в том, что оно действительно и (b), что идентифицированный таким образом пользователь имеет право сделать этот запрос. Если это не так, запрос может быть выгружен с помощью 403 Forbidden или аналогичного ответа: нет причин для продолжения.

Таким образом, если и когда «реальный» контроллер делает, то получить переданный запрос, может считаться само собой разумеющимся, что запрос (по-видимому) хорошо сформирован и разрешен. (Или, по крайней мере, , прошедший проверку подлинности:, на данный момент запросчик имеет «проверенную и заслуживающую доверия идентификацию».)