我有这个项目是学校管理系统,我创建了角色(教师,管理员,员工)现在我可以分配允许在每个页面中查看的角色,我想要< strong>教师更具体的角色因为我有这个页面,老师可以看到她/他教的所有主题列表。
现在我的问题是当老师登录时,我想要登录的当前老师的所有主题只能看到她的科目,现在我的角色(老师)他们也可以看到来自其他老师的所有科目列表。关于如何解决这个问题的任何想法?或者我应该添加或学习什么才能实现我的目标?我听说 MVC身份是负责解决此问题的人。如果你们能给我一些关于如何处理这个的想法,那就表示赞赏。谢谢!
答案 0 :(得分:0)
如果我确实正确理解了您的问题。您正在寻找的是基于资源的授权(授权取决于所访问的资源)。据我所知,这不能通过声明性安全来完成。
为了获得这种灵活性,您必须在action方法中调用授权函数。 根据该授权功能的结果,您可以返回403或所需的资源。
说到您的要求,在您的操作方法中提取用户ID并过滤掉其他教师的科目 如果您使用的是ASP.Net Identity,link可以帮助您开始使用。