我需要授权属性来确保经过身份验证的用户可以在安全区域访问以管理他的并且只有他的数据。
我正在考虑检索httpContext.User.Identity.Name
并将其与从数据库中检索到的用户名相匹配。
这基本上是好的(安全)方法吗?或者它可以在头脑中更安全地完成?
所以,我的控制器装饰有自定义属性
[UserAccountAuthorizeAttribute]
public ActionResult Edit(string username)
{
return View();
}
我正在覆盖AuthorizeAttribute
但在调试模式下在下一行得到空值
var rd = httpContext.Request.RequestContext.RouteData;
var username = rd.Values["username"]; // null
有什么问题?