У меня вопрос о пользовательской авторизации в MVC.
У меня есть сайт, на котором я хочу ограничить доступ к определенным страницам, в зависимости от их членства в группе. Теперь я видел множество примеров того, как это сделать, если есть, например, одна группа администраторов и одна группа пользователей, но не примеры для третьего уровня.
Например, только пользователи компании могут просматривать заказы для своей собственной компании (и у каждой компании есть свои администраторы и т.д.). Эти компании хранятся в БД. Поэтому я видел способы сделать настраиваемую авторизацию, переопределяя метод AuthorizeCore
в AuthorizeAttribute
, но я не знаю, как получить доступ к параметрам, переданным в контроллер, чтобы узнать, имеет ли пользователь доступ к заказу (заказ id, например).
Это даже лучшее место для проверки, или это просто нужно обрабатывать непосредственно из метода контроллера?