我正在使用 ASPNET 标识构建一个全新的 ASP.NET MVC 应用程序。我正在考虑是否同时使用基于角色和基于声明的混合。
混合的原因是:使用角色来控制更广泛的访问级别(定义组,例如新用户组、悉尼用户组),并基于声明来控制更复杂的访问级别,例如控制器、开发人员、测试人员)。
因此,如果我只想在悉尼用户组和开发人员级别进行控制,我可以同时使用角色和声明。
这听起来对吗,还是我应该只使用纯粹的基于声明的授权?
我正在使用 ASPNET 标识构建一个全新的 ASP.NET MVC 应用程序。我正在考虑是否同时使用基于角色和基于声明的混合。
混合的原因是:使用角色来控制更广泛的访问级别(定义组,例如新用户组、悉尼用户组),并基于声明来控制更复杂的访问级别,例如控制器、开发人员、测试人员)。
因此,如果我只想在悉尼用户组和开发人员级别进行控制,我可以同时使用角色和声明。
这听起来对吗,还是我应该只使用纯粹的基于声明的授权?