ASP.NET MVC Использование идентификаторов в URL-адресах

Question

Я знаю, что маршруты по умолчанию в MVC включают параметр id, который часто сопоставляется с идентификатором объекта, поскольку он хранится в базе данных. Теперь, часто это нормально, но как насчет того, когда вы не хотите, чтобы кто-то мог манипулировать им? Честно говоря, во многих бизнес-приложениях это очень распространено. Например, вы не хотите, чтобы кто-то менял номер учетной записи (не лучший пример, но вы поняли эту идею) по URL-адресу по понятным причинам. Таким образом, вам нужно будет проверить номер учетной записи для зарегистрированного пользователя по каждому запросу. Очевидно, что это не реалистичное решение, и в веб-формах многие люди будут хранить что-то подобное в сеансе. Я стараюсь слишком мало полагаться на сессию в MVC, но, кроме этого, я бы просто пошел в старую школу и использовал скрытые поля?

Как к этому подходят другие?

Answer 1

Способ, которым это было обработано в одном месте, на котором я работал, было проверить реферер в объекте Request. Если реферер был пустым или нет из текущего домена, не показывайте им страницу.

Request.UrlReferrer 

Это действительно сработало довольно хорошо.

Answer 2

На самом деле, для обеспечения безопасности вы все равно должны проверять права пользователей, прошедших аутентификацию, по каждому запросу. Возможно, вы можете расширить атрибут Authorize, чтобы он соответствовал вашим потребностям. И скрытое поле немного лучше, чем параметр url, поскольку они легко меняются с помощью инструментов разработчика IE или Firebug.