我们目前正在开发一个允许不同用户管理实体(文档,人员等)的网站。每个用户都有一个他所属的组列表,在创建实体时,他们可以定义他们希望他们所属的组。然后,创建的实体可以由属于同一组的用户进行管理。
为了在正常导航中实现这一点,我们过滤所有索引页面以仅显示属于用户所属的任何组的实体,并且我们使用声明来限制这些用户对不同控制器方法的访问。
问题在于我们无法控制用户输入" / documents / edit / 1"等URL的事件,其中" 1"是当前用户不应管理的文档的ID,因为它不属于他的任何组。此外,对于特定方案,我们仍然需要能够生成链接,供用户访问通常无法访问的实体的详细信息页面。
我们希望找到一种方法来实现这一目标,而无需修改编辑/详细信息/删除控制器方法来检查数据库并确定用户是否应该能够管理该实体。 我们一直在研究实现这种限制的不同方法,但是想知道哪种方法是这种情况的最佳实践。
提前致谢!