0

我在我的 MVC4 网站中设计了一个 mvc 视图,它允许成员更新他们的用户详细信息。使用 MVC 可以正常工作,但如果我创建一个允许用户更新其地址的部分视图,例如使用 AJAX。我如何应用安全级别来确定用户 x 只能更新用户 x 的帐户。并且不允许用户以用户 x 的身份登录,然后欺骗帖子并更新用户 y 的帐户?

4

1 回答 1

0

无论您的控制器是 MVC 控制器还是 WebApi 控制器,在用户进行身份验证并且在当前线程中设置了 Principal 之后,您所要做的就是检查当前上下文中的用户:

HttpContext.User

是正在编辑的数据所属的那个。通常用户名填充在

HttpContext.User.Identity.Name

如果正在编辑的用户的用户名与经过身份验证的用户不同,则只需抛出和 InvalidOperationException。

于 2013-08-20T03:09:06.373 回答