我正在另一台机器上构建一个带有 MVC4 单页前端和 WebAPI 的应用程序,它将 json 查询数据直接返回到浏览器。身份验证发生在 MVC 端,其中构建了一个用户对象,该对象为当前用户定义了一组“canDoX”权限。
问题是我如何根据这些权限保护对 WebAPI 操作的访问,而无需在收到来自页面 .js 的请求时重新验证和授权用户。
就目前而言,用户必须了解 api,但如果他们知道,他们可以破解 url 并查询他们想要的任何数据'/api/myController/myRestrictedAction/123'
有任何想法吗?我应该放弃单页的想法,只从 MVC 控制器调用 webAPI 吗?