доступ к некоторым записям в бд через апи только для владельца и админа, в апи передается ид записи
Можно прямо в контроллер засунуть проверку конечно, но хотелось бы аттрибутом указать
Чем Role Based не подходит? Или я туплю?
Я делал. Фильтр, который берет параметр из URL и кладет в http context items. Дальше requirement handler может брать оттуда. Правда, это не по гайдлайнам. Если проверяется доступ к ресурсу, рекомендуется не декларативная проверка атрибутами, а императивная в коде контроллера — вызов AuthorizeService
Обсуждают сегодня