asp.net mvc - Securing web application on the data access level -

कृपया निम्नलिखित सेटअप पर विचार करें:

1. मल्टी-किरायेदार वेबएप।
< Li> किरायेदारों कंपनी के खाते बनाते हैं और कंपनी के खातों में उनके पास उपयोगकर्ता खाते होते हैं।
2. उपयोगकर्ताओं की भूमिकाएं हैं, एक विशेष भूमिका "स्वामी" (उपयोगकर्ता जो कंपनी का खाता बनाया है)।

मैं अन्य प्रयोक्ता खातों (कुछ व्यवस्थापक कार्यों) को संपादित करने के लिए प्रयोक्ताओं को करना चाहता हूं, लेकिन दो शर्तें पूरी की जानी चाहिए:

1. कोई भी स्वामी के डेटा को संपादित नहीं कर सकता (मालिक को छोड़कर, जब वह अपनी प्रोफ़ाइल का संपादन कर रहा है, और खुद का प्रोफाइल संपादन एक ही उपयोगकर्ता संपादन है)।
2. उपयोगकर्ता उपयोगकर्ता डेटा एक्सेस कर सकते हैं और उपयोगकर्ताओं को केवल उनके कंपनी खाते में ही संपादित कर सकते हैं।

ऐप एमवीसी वास्तुकला का उपयोग करता है वर्तमान में मैं वेब परत में उन दो स्थितियों की जांच करता हूं और यह मेरे लिए काम करता है, लेकिन मुझे कुछ चिंताएं हैं I अगर मैं किसी प्रकार के एपीआई या किसी अन्य प्रकार के डाटा उपभोक्ता के साथ जाता हूं, तो मैं इन शर्तों को फिर से लागू करने के लिए "भूल" सकता हूं। साथ ही, समान कार्यक्षमता आवश्यकताओं वाले ऐप में अन्य ऑब्जेक्ट भी होंगे और उन पर समान प्रतिबंध होंगे, इसलिए मेरे लिए कुछ प्रकार के पैटर्न के साथ आने के लिए बेहतर होगा जो डेटा प्रतिबंध स्तर पर मेरे प्रतिबंध को लागू करेगा।

हो सकता है कि किसी भी तरह की तलाश में कोई चीज की सिफारिश हो?

धन्यवाद!

मैं पहलुओं को समझता हूं या इंटरसेप्टर आपकी सहायता करने में सक्षम होना चाहिए I यदि आप ऑब्जेक्ट्स के साथ काम करते हैं तो आपको अपने व्यवसाय डेटा वाले अनुरोधों को रोकना और मौसम की जांच करने में सक्षम होना चाहिए, आपके उपयोगकर्ता को इस पर काम करने की अनुमति है। इंटरसेप्टर तब रोक सकता है या निष्पादन को आगे बढ़ा सकता है।