如果我在控制器和动作上都有Authorize属性,哪一个会起作用?或者都会生效?
我开始使用默认项目AccountController,但我已将其扩展/更改为无法识别.但是,与原来一样,我有一个LogOn和LogOff动作.
显然,LogOn每个人都必须能够采取行动.但是,由于我已向此控制器添加了许多其他操作(以创建和编辑用户),因此我希望99%的操作都需要管理员角色成员资格.
我可以装饰我所有的行为,[Authorize Roles="Administrators"]但有风险,我会忘记一个.我宁愿通过使用该属性修饰控制器类本身来使其安全,然后放宽对我的LogOn方法的要求.我能这样做吗?
(因为,我可以在不创建自定义类的情况下开箱即用,等等.我不想让事情变得复杂得多.)