我有我的数据库中由不同用户创建的帖子的集合。ASP.NET MVC检查用户是否可以执行操作
- 每个用户都可以创建帖子并只编辑他们的帖子。
要编辑他们的帖子,用户导航到“Posts/EditPost?PostID = x”页面,其中x是帖子ID。
“Posts”控制器具有'[Authorize]'属性,操作的GET部分检查是否由用户创建帖子。
如果用户的确确实发布了帖子,它将呈现视图。在视图中有一个带有“PostID”的隐藏字段。
当用户提交表单时,如果PostID匹配当前登录用户创建的帖子,则操作的POST部分会重新检查。
有没有更好的方法来实现这一点,而无需再次检查用户是否有权编辑帖子,或者这是最好的方式?