我是比较新的.NETCore 2.0,想知道,以确保一个人只有他们创建和查看/编辑记录可以是认为“拥有者”的最佳途径记录。限制访问的数据通过记录所有者在.NETCore
我知道如何从控制器保存前将当前用户添加到创建对象,但我不知道最好的方式来检查编辑/读取访问权限。我应该在控制器中保留这个逻辑吗?或者在Model/Repository上执行此操作?
我有一个库函数编辑“交易”对象。
public void EditTrade(Trade trade, string currentUserId)
{
if(trade.Owner != currentUserId)
throw new Exception("Not the correct user");
context.Trade.Add(trade);
}
我觉得这个有很多在我的整个应用程序的编码和不知道是否有一个更内置的方式来检查与实体框架或.NET的身份包。
如果有帮助,我不关心管理员看到的一切。每个用户只能看到自己的记录。