使用 Knockout 和 Upshot 实现单页应用程序的一个基本思想是,大部分数据将使用 AJAX 以 JSON 格式从服务器接收和发送到服务器。
在服务器上,我们将公开一些端点(可能使用 WebAPI 和 DbDataController)来响应来自 Upshot 的请求。这些端点可以提供对数据的一般查询,例如客户列表、以前的订单、帐户信息等。
显然,不希望一个客户能够查看另一个客户的帐户信息、先前的订单或其他私人数据。
- 使用什么策略或方法来保护从结果(或其他机制)请求到服务器的查询(和数据)?(换句话说,我们如何确保用户只能访问他自己的数据?)
- 这些策略是否与普通 ASP.NET MVC 应用程序中使用的策略相同或不同——即使用 Authorize 属性?
这可能是一个非常简单的问题,但我仍然不清楚 WebAPI 控制器和通常的 ASP.NET MVC 控制器之间的所有区别。
感谢您的帮助!