0

我在我的 ASP.NET MVC 应用程序中使用 Forms Authentication 和 SimpleMembership 来实现登录功能。

现在我想根据登录用户所属的部门过滤向用户显示的内容。

起初我考虑使用 User.Identity.Name,但由于我希望过滤的数据不包含用户名,而是包含部门 ID,所以我必须对每个过滤器(请求)进行额外的连接。

这导致我通过添加 DepartmentId 来自定义身份/主体。这是正确的做法吗?在此处存储此类信息是否安全(授权 cookie)?我应该将它添加到身份或主体中吗?我见过定制两者的例子,所以我有点困惑。我看到的例子不是关于过滤,而是显示一些额外的信息,比如电子邮件。

4

1 回答 1

0

是的,这是正确的地方,只要你加密 cookie 中的值,你应该没问题。使用这种方法是标准做法,您自定义身份,然后在您的授权例程中将其分配给 httpcontext 用户。

这使您可以访问它并将其标记到您发出的任何数据库请求中,这样您就可以确保发回的任何数据都可以供该用户查看。

oswap 关于安全性的建议之一是检查每个数据请求以确保该用户可以看到它。

于 2013-05-08T13:52:52.710 回答