Это будет мое первое приложение ASP.NET MVC с проверкой подлинности с помощью форм, поэтому я стараюсь ничего не пропустить. Сценарий такой: общественные / охраняемые зоны.
В частной области это даже еще больше ограничено определенными областями / пользователем. Эти «области» определяются настройками базовой области, которая настраивается для каждой группы пользователей.
Так, например, пользователь может перейти по URL-адресу /Area/Controller/Action
. Им потребуется разрешение на доступ к защищенной области, иначе они будут перенаправлены в режим входа.
Я читал о AuthorizeAttribute
, но не уверен, как и где мне следует выполнять эти базовые проверки. Моя первоначальная догадка заключалась в том, чтобы сохранить объект пользователя в сеансе после успешного входа в систему с IP-адресом пользователя и подробностями о том, к чему у них есть доступ и т. Д.
Проверка авторизации для каждого защищенного вызова контроллера будет подтверждать, что действительный объект пользователя существует в сеансе, IP-адреса все еще совпадают, и пользователь имеет доступ к определенной области. Есть ли в этой настройке очевидные дыры?
Изменить: Где / как мне реализовать эти проверки, чтобы, когда контроллер помечен тегом [Авторизовать], он выполнял эти проверки объекта сеанса?
Будем очень признательны за любые указатели или предложения. Спасибо.