ロールを使用したasp.net mvc承認

たぶん、URLが http：// localhost/person/editme のようになり、現在ログインしているユーザーの編集フォームが表示されるように、コントローラーアクションを整理できます。この方法では、ユーザーがURLをハッキングして他のユーザーを編集することはできません。

私の$ .02：

承認と認証は2つの異なるものです。簡単に言えば、問題はあなたがこれを行うことができますか？あなたの友達を選ぶことができます、あなたの鼻を選ぶことができますが、あなたの友達の鼻を選ぶことはできません！すべての役割で許可されている場合（ユーザーが手と鼻を持っている場合）は、承認を確認する必要はありません。ユーザーが自分のプロファイルにアクセスし、フォームの非表示の値またはリダイレクト（鼻ではなく、離れて）を使用してプロファイルIDをテストするためのPostメソッドを用意します。

他のプロファイルを編集するためのGetメソッドを用意し、ここで管理者の役割を確認してください-（私は医者です、私はあなたの鼻に物を突き刺すことを許可されています）...

より洗練されたソリューションは、[Authorize]を拡張するか、IAuthorizationFilterを実装して、次のように独自の承認アクションフィルターを作成することです。

public class AuthorizeOwnerAttribute: FilterAttribute, IAuthorizationFilter
{
    #region IAuthorizationFilter Members

    public void OnAuthorization(AuthorizationContext filterContext)
    {
        // add logic here that compares the currently logged in user, to the owner of the profile that is being edited
        // get currently logged in user info from filterContext.HttpContext.User.Identity;
        // get profile being edited from filterContext.RouteData or filterContext.Something
    }

    #endregion
}

OnAuthorizationメソッドに入る実際のロジックがどうなるかはわかりませんが、私のコメントから出発点がわかります。詳細を調べるには、Googleを使用する必要があります。ユーザーを別のビューにリダイレクトする方法、または別の場所（[HandleError]属性など）で処理される強く型付けされた例外をスローするかどうか。

マットは正しいです。

許可の目的は、その機能の実行が許可されていることを示すことです。つまり、ユーザーが実行しようとしているのは、その特定のIDに対して機能を実行できるかどうかです。

したがって、2つのソリューション：

1. Mattが言ったように、IDをとらないが、現在ログインしているユーザーをセッション情報から検索して取得するアクションを実行します。
2. IDを取得するアクションを実行しますが、管理者アクセスのみを許可します-必要に応じて他のユーザー情報を変更できます。

しかし、質問に答えるために、許可は「はい、この人はユーザーの変更アクションを使用できます」と言うだけであり、入力されたパラメーターに基づいていません。

もう1つの方法は、ユーザーが現在のユーザー==を取得したことを確認するか、別のアクションにリダイレクトして、そのユーザーを編集できないことを通知することです。ただし、 id、および現在ログインしているユーザーを取得します。

この問題の解決策： http://nerddinnerbook.s3.amazonaws.com/Part9.htm

"夕食を編集するときのUser.Identity.Nameプロパティの使用

次に、ユーザーを制限する承認ロジックを追加して、ユーザーが自分でホストしているディナーのプロパティのみを編集できるようにします...」