MVC Маршруты - ограничение прямого просмотра методов действий

Question

Мне было интересно, как я могу остановить доступ пользователей к методу действий непосредственно через просмотр URL-адреса. У меня есть метод действия ViewUser, в котором идентификатор передается из URL-адреса. Сейчас пользователь может заменить идентификатор другим, и будет выполнен метод действия. Сейчас у меня нет определенного маршрута. Возможно ли разрешить доступ только к методу действий из ActionLinks?

Answer 1

По понятным причинам нет способа ограничить доступ к URL-адресу из определенных тегов <a />. Вместо этого вы должны использовать что-то вроде forms authentication и проверить, имеет ли пользователь, прошедший аутентификацию, права делать то, что он/она запрашивает.

Answer 2

Используйте UUID вместо id. UUID.randomUUID(). Если это не вариант, подумайте о передаче в токен аутентификации.