Ich entwerfe eine App in ASP.NET MVC, und die übliche Art, Aktionen zu schützen, ist durch das Attribut Authorize
, die eine gesamte Aktion schützt.Dynamische Sicherheit für ASP.NET MVC
[Authorize(Roles = "Managers")]
public AtionResult Info(int employeeId)
In unserem Design ist die Anwendung jedoch stark datengesteuert. Eine Aktion für einen Datensatz ist möglicherweise zulässig und für einen anderen Datensatz nicht zulässig.
//OK http://host/Employee/Info/102 //Not OK http://host/Employee/Info/105
Welches Muster sollten wir für die Sicherheit für dieses Design verwenden?