标签: .net asp.net-core authorization
我正在构建简单的社交网络应用程序。我正在使用.NET core 2.0和Identity来处理用户。我对视图和控制器都有角色身份验证。我有以下问题:每个用户都有个人资料页面,该用户可以上传图片(头像)。但是,我可以通过访问其他个人资料去为其他用户上传图片。我对个人档案模型进行了CRUD授权,因此,如果您不是该记录的所有者,则无法进行编辑,但是我仍然可以看到上传图像表单。我能以某种方式基于身份验证的用户和个人资料网址隐藏吗?