我设计了一个具有授权的MVC应用程序,效果很好。在我的应用中,用户可以点击链接来查看文档。文档显示在另一个选项卡中。如果用户保存该链接,注销,然后返回(不登录),他们可以将链接粘贴到浏览器中以查看文档。他们还可以更改链接中的参数,以查看可能与他们的帐户关联也可能不关联的文档。链接创建为:
@Html.ActionLink("View", "CertificatePDF", "Documents", new { wo_nbr = Model.id}, new { target = "_blank" })
创建以下链接:http://xxx.yyy.com/Documents/CertificatePDF?wo_nbr=1000462209
我如何阻止用户查看/更改文档,除非他们登录到应用程序?
将[Authorize]属性添加到CertificatePDF操作中。这应该要求对用户进行身份验证。如果希望所有内容都需要身份验证,可以将该属性添加到控制器类中。对于相反的情况,也可以添加[AllowAnonymous]属性来绕过认证。