В настоящее время я разрабатываю приложение ASP.NET MVC4, которое имеет 3 роли: admin, manager и editor. Редакторы могут использовать статьи CRUD в системе, но редакторы могут читать, обновлять или удалять свои СОБСТВЕННЫЕ статьи. Я видел, что я могу контролировать доступ к контроллеру и действию, добавив:Авторизация ASP.NET MVC4 в зависимости от роли и информации
[Authorize(Roles="editor")]
но только ограничивает роль не информации.
Если редактор A создал статью 1 ТОЛЬКО, редактор A имеет доступ к этой статье. Ни одна другая роль не имеет доступа к контроллеру или информации. Какова была бы лучшая практика для ограничения доступа по ролям и по контексту?