我有一个 Play 框架应用程序,它有一个这样的模型:ACompany
有一个并且只有一个User
与之关联。
我有诸如http://www.example.com/companies/1234
、 http://www.example.com/companies/1234/departments
之 类的 URL http://www.example.com/companies/1234/departments/employees
。这些数字是公司 ID,而不是用户 ID。
我希望普通用户(不是管理员)只能访问他们自己的个人资料页面,而不是其他人的个人资料页面。因此,与 ID 为 1234 的公司关联的用户应该无法访问该 URL http://www.example.com/companies/6789
我试图通过覆盖Secure.check()
请求参数“id”并将其与与登录用户关联的公司的 ID 进行比较来完成此操作。但是,如果参数被称为“id”以外的任何东西,这显然会失败。
有谁知道如何做到这一点?