我有一个MVC控制器基类,我在其上应用了Authorize属性,因为我希望几乎所有控制器(及其操作)都被授权.
但是我需要一个控制器和另一个控制器的动作未经授权.我希望能够用[Authorize(false)]或其他东西来装饰它们,但这是不可用的.
有任何想法吗?
我对MVC中的自定义授权有疑问.
我有一个网站,我想限制访问某些页面,具体取决于他们的组成员身份.现在,我已经看到了大量关于如何执行此操作的示例,例如,如果存在单个管理组和单个用户组,而不是第三级的任何示例.
例如,只有公司的用户才能查看自己公司的订单(并且每家公司都有自己的管理员等).这些公司存储在DB中.所以我已经看到了进行自定义授权的AuthorizeCore方法,覆盖了方法AuthorizeAttribute,但我不知道如何访问传递给控制器的参数,以查看用户是否可以访问订单(例如,订单ID).
这甚至是检查的最佳位置,还是应该直接从控制器的方法处理?