限制用户访问其他用户的数据
我在设计一种通用功能时遇到了问题,即该功能可以将用户创建的信息从其他用户隐藏起来。例如,要编辑由USER1创建的产品,通常我们使用以下之一。
- / Product / Edit / Id / 1
- / Product / Edit?Id = 1
我担心的是,如果USER2的ID为1,他还能够访问由USER1创建的ID = 1的产品。如何限制USER2访问USER1的数据?这可能需要应用于项目中的每个模块。是否有实现此目的的通用方法?谢谢
2 个答案:
答案 0 :(得分:2)
如果要保留正在访问数据的用户的状态。您可以向此查询以及整个应用程序添加"WHERE CreatedBy = {YOURLOGGEDINUSER}"。然后,即使他获得正确的ID,也不会返回任何数据。
答案 1 :(得分:1)
假设您已启用某种ASP.Net身份验证(用户已证明自己是谁),那么现在您需要考虑授权(允许用户执行的操作)。
这两个术语经常组合或互换使用无济于事。在MVC中,经常使用自定义AuthorizeAttribute来完成这两项。
对于记录管理,可以通过HttpContext.Current.User的IPrincipal访问当前登录的用户。
用户ID通常设置为HttpContext.User.Current.Identity.Name,尽管如果不是每条路由都经过验证,则可能需要进行空检查。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?