对某些用户限制服务的最佳方法是什么
|
编辑:改写和简化的问题是为了简化...
在我的服务层中,我有类似
GetAllMessages(string userid);
我的系统上可能有各种类型的用户,例如客户/供应商等...
该服务仅适用于所有类型的用户,但是,实现仅适用于选定用户的服务的最佳方法是什么(例如,
DeleteAllMessages(string userid); //client only
NewSupplierMessages(string userid); //supplier
通常,这些方法将在一个称为MessagesService的类中
注意:只是为了澄清,用户已登录并通过身份验证,但是我想知道是否应该这样编写我的方法:
DeleteAllMessages(ClientUser user); //client only
NewSupplierMessages(SupplierUser userid); //supplier
基本上以更强类型的方式获取每个操作和调用方法的用户详细信息...
编辑2:
请注意,我的域层与Web应用程序位于单独的类库中,\“客户端用户\”将成为\“客户端\”的一部分,类似地,\“供应商用户\”将成为\“供应商\”的一部分-因此,如果我想查询我的服务层并调用正确的代码(即检索正确的详细信息)-我必须传递用户ID或用户的强类型类,那么我将看不到DTO对象上有何约束表示谁可以不正确/脆弱地访问服务?
否则,我将有以下内容:
GetClientDetails();
用户由asp.net处理,因此我们知道用户可以访问此操作,但是如果有多个客户端怎么办?当然,然后我们必须传递一些客户端ID /如果要传递用户ID,则可以从中获取客户端ID ...
相反,我会说我的域层在看到类似上述签名的内容时是错误的...
编辑3:
我能想到的唯一其他选择是,当用户进行身份验证时,将使用情况存储在asp.net mvc应用程序内部的UserSession类中,作为全局状态,然后使用DI(ninject)将其注入到我的域服务层中,因此当我的签名可以
GetClientDetails();
实现此接口的域服务类可以是:
public class ClientService : IClientWorkerService
{
private ISession _session;
private IGenericRepo = _repo;
public ClientService(IUserSession _session, IGenericRepo _repo)
{
this._session = _session;
this._repo = _repo;
}
public ClientDetails GetClientDetails()
{
var loggedonuser = _session.GetUser();
if(!loggedonuser.isClient())
throw new NoAccessException()
return _repo.Single<Client>(x=> x.ClientID == loggedonuser.ClientID);
}
}
没有找到相关结果
已邀请:
1 个回复
苛肠倒俱