Ich habe Webapi-Aktion, die mit customauthattribute für die Autorisierung dekoriert ist. Dieses Attribut überprüft intern mit db, wenn der aktuelle Benutzer über Berechtigungen für Benutzer verfügt. Jemand weiß besser, es zu handhaben, anstatt CustomAttribute zu verwenden. kann irgendwo abfangen und alle Berechtigungsprüfungen für Benutzer/Freigabe/Ressource ausführen, auf die er zuzugreifen versucht: zB getcustomer für Kundennummer 10. Wenn Benutzer also keinen Zugriff hat, siehe Kunden-ID 10, sollte er den Status 403 erhalten.Alternative Möglichkeit, Controller-Aktion Autorisierung anstelle von CustomAttribute
[CheckPermission(Process.CustomerManagment,Permissions.View)]
public IHttpActionResult GetCustomer(int customerId)
{
}
Sie könnten einen globalen Filter hinzufügen, aber das bedeutet, dass der Code vollständig getrennt ist Von Ihren Aktionsmethoden kann also etwas verwirrend sein. – DavidG
gibt es einen anderen Weg statt Attribute oder globale Attribute zu verwenden? – krishna