ASP.NET MVC使用角色进行授权

也许你可以组织控制器操作，使得URL更像http://localhost/person/editme，并显示当前登录用户的编辑表单。这样，用户就无法通过篡改URL来编辑其他人的信息。

我的观点：

授权和认证是两个不同的概念。简而言之，问题是你能做这件事吗，你应该做吗？你可以选择你的朋友，你可以挖你的鼻子，但你不能挑选你的朋友的鼻子！如果每个角色都可以执行它（用户有手和鼻子），那么就没有必要检查授权。为用户设置一个发布方法来获取他们自己的个人资料，并使用表单的隐藏值或重定向测试个人资料ID（不要碰我的鼻子，走开）。

为编辑他人个人资料设置一个获取方法，并在此处仅检查管理员角色 - （我是医生，我有权将东西塞进你的鼻子中）...

public class AuthorizeOwnerAttribute: FilterAttribute, IAuthorizationFilter
{
    #region IAuthorizationFilter Members

    public void OnAuthorization(AuthorizationContext filterContext)
    {
        // add logic here that compares the currently logged in user, to the owner of the profile that is being edited
        // get currently logged in user info from filterContext.HttpContext.User.Identity;
        // get profile being edited from filterContext.RouteData or filterContext.Something
    }

    #endregion
}

我不确定OnAuthorization方法实际逻辑是什么，但我的注释应该会给你一个起点。您需要通过Google了解更多信息 - 如何将用户重定向到不同的视图，或者是否抛出强类型异常，在其他地方处理它（可能在[HandleError]属性中）。

Matt是对的。

授权的目的是为了展示该用户有权执行该功能，而您所尝试做的是判断他们是否能够为特定ID执行该功能。

因此有两种解决方案：

1. 像Matt说的那样，创建一个不带ID的操作，但是从会话信息中查找当前已登录的用户并获取其信息。
2. 创建一个需要ID的操作，但只允许管理员访问-这样他们就可以在需要时修改其他用户的信息。

但是要回答问题，授权仅仅是表示“是的，这个人可以使用修改用户操作”，并不基于输入的参数。

另一种方法是您可以使其检查获取到的用户 == 当前用户，或者重定向到另一个操作，表明他们无法编辑该用户-但最好提供一个不带id且仅获取当前已登录用户的操作。