c#-确保用户X不查询用户Y的数据
作者:互联网
可以说我有一个有很多学生组织的组织.每个组织都有一个登录名,其中显示了相关学生的列表.
在查看学生名单时,我可以通过单击其中一个对其进行编辑.这将我带到一个页面,说/ students / edit /< id>.
查询此页面的视图可以从我的服务层获取学生:
public class StudentService : IStudentService {
private readonly IRepository _repository; // injected in constructor
public Student GetStudent(int id) {
return _repository.Get<Student>(x => x.Id = id);
}
}
我的问题是:
>如何确保组织X不查询组织Y的数据(例如,通过在查询字符串中使用不属于已登录组织的其他ID)?
>服务层是否应添加额外的联接(&& x.OrganisationId ==< organization id>),以确保
当前登录的组织是唯一的数据
从哪里查询?如何从服务层获取当前用户?
>是否应该向GetStudent(int id,intorganisationId)添加一个额外的参数,然后由控制器进行设置?这似乎使我的服务肿.
我希望我已经很好地解释了这一点,如果让我感到困惑,请让我知道;-)
解决方法:
我建议您使您的服务知道当前经过身份验证的用户.这样一来,您可以在每个查询中加入类似于以下内容的限制Where子句,以防止用户看到其他组织的学生
private Student GetStudent(int id) {
return _repository
.Get<Student>(x => x.Id = id)
.Where(s => s.OrganisationId == _currentUser.OrganisationId)
.FirstOrDefault();
}
标签:asp-net-identity,c,entity-framework 来源: https://codeday.me/bug/20191121/2052722.html