登錄MVC3用戶只能看到自己的東西，除了管理員

Question

新手到asp.net和mvc3。我通過設置自己的挑戰/開發應用程序來學習。我標記用戶與ProviderUserKey交互的所有記錄表。現在我希望能夠限制登錄的用戶只能編輯或刪除自己的記錄，但管理員可以編輯或刪除任何記錄。我一直在使用腳手架來生成editing` // POST控制器和視圖等。例如，代碼：/後/編輯/ 5

[HttpPost] 
    public ActionResult Edit(PJpost pjpost) 
    { 
     if (ModelState.IsValid) 
     { 
      db.Entry(pjpost).State = EntityState.Modified; 
      db.SaveChanges(); 
      return RedirectToAction("Index"); 
     } 
     return View(pjpost); 
    }` 

任何幫助將得到高度讚賞。

Answer 1

如果你有一個通用的方法編輯/動作，你想保持這種方式，我會在你的控制器somethink像ValidateOwnership（記錄）添加一個方法。此方法需要驗證CurrentUser的ID是否與記錄上的ID匹配，並且用戶是否是特定角色的成員 - 可以使用RoleManager類完成。方法將返回true/false。 準備就緒後，只需在ModelState驗證後將代碼調用放入代碼即可。它看起來像這樣

[HttpPost] 
public ActionResult Edit(PJpost pjpost) 
{ 
    if (ModelState.IsValid) 
    { 
     if(IsOwnershipValid(pjpost){ 
      db.Entry(pjpost).State = EntityState.Modified; 
      db.SaveChanges(); 
      return RedirectToAction("Index"); 
     } 
     else { 
      ModelState.AddModelError("ERROR","You're not allowed to do that"); 
      return View(pjpost); 
     } 
    } 
    return View(pjpost); 
} 

編輯： 所以OwnershipValidation看起來是這樣的：

public bool ValidateOwnership(Pjpost pjpost) { 
    if (pjpost.MemUID == Membership.GetUser().ProviderUserKey.ToString()) 
    { 
    return true; 
    } 
    else 
    { 
    return false; 
    } 
} 

我希望這是你的意思。

Answer 2

您需要查看用戶角色和授權過程，MVC會提供註冊並在其中登錄模板，包括賬戶控制器。要限制用戶訪問，您必須將角色分配給用戶。

它背後的代碼看起來像這樣。

[Authorize(Roles="admin")] 
public ActionResult admin() 
    { 
     //Action gives an admin rights since the user is in the admin role 
    return View();  
    } 

[Authorize(Roles="manager")] 
public ActionResult manager() 
    { //give a managers rights since user is im managers roles. 
    return View();  
    }