控制器操作具有不同的授权级别是不好的做法吗？

Question

我们正在开发一个网站，我们有一个控制器，处理一个模型，例如国家的增删改查。只允许管理员执行CRUD操作。但是，我们还希望控制器提供一个JSON选择列表来填充下拉列表。这种模式存在于整个应用程序中。

这意味着我们不能使用标准授权属性来限制对控制器入口处的管理员的访问。我们需要用特定的授权属性来装饰每个操作。

我们需要在单个控制器上使用多个授权级别的事实是不好的信号吗？这是否意味着我们违反了SRP？

处理以下事实的最佳模式是什么:许多控制器都与只能由Admin更新但为所有授权用户提供JSON选择列表的实体相关？

谢谢

Answer 1

这样做的唯一问题是您可能会忘记保护本应仅用于管理员的操作。

实际上，解决这个问题的首选方法是在您的站点上有一个仅供管理的区域(使用MVC区域)。

http://msdn.microsoft.com/en-us/library/ee671793.aspx

http://sankarsan.wordpress.com/2012/04/14/asp-net-mvc-areasa-better-way-to-structure-the-application/

这样，整个www.site.com/admin部分将作为仅限管理的部分受到保护。