Только что начал с ASP.NET MVC. Я работаю над клиентским порталом для нашей справочной системы (FogBugz). Я понимаю, что для оформления моих ActionResults с помощью [Authorize] потребуется, чтобы пользователь вошел в систему, но я не уверен, что лучше всего обеспечить, чтобы пользователь мог получать доступ только к своим собственным вызовам.ASP.NET MVC Controller Action Authorization
Как только пользователь авторизован, я могу получить свое имя пользователя из объекта User, поэтому должен ли я передавать его с моих контроллеров на бизнес-уровень и разрешать там, или есть лучший способ сделать это (например, пользовательский атрибут AuthorizeAttribute)?
Спасибо за это, я прочитал эти статьи и советы полезно знать. Однако я не уверен, что они относятся к конкретному запросу, который у меня был. Меня больше интересовало, где выполнять авторизацию, в AuthoriseAttribute или в бизнес-слое. В любом случае, я решил передать детали пользователя в бизнес-уровень и проверить разрешения там, поскольку это кажется самым чистым методом. – Nelson