Предположим, что высокоскоростному разработчику было поручено создать банковское приложение, к которому будут обращаться многие люди. Каждый человек хотел бы получить доступ к своей собственной учетной записи, но не хотел бы, чтобы другие могли получить к ней доступ. Я хотел бы узнать наилучшую практику ограничения доступа в приложении MVC, чтобы доступ к ней мог получить только пользователь, которому принадлежит эта информация (или администратор).
Атрибут Authorize
позволяет нам ограничивать роль. Хотя это отправная точка, кажется, что любой аутентифицированный пользователь может получить доступ к любой другой пользовательской информации.
ActionFilters, похоже, предлагают возможность для более детального контроля и, вероятно, могут быть использованы для выполнения задачи. Однако неясно, будут ли они рекомендуемым методом.
Любые рекомендации или идеи приветствуются.