MVC3のユーザー権限/セッション変数のベストプラクティス

Question

こんにちはスタックコミュニティメンバー、

ユーザーは部門固有のCRUD権限を持つMVC3でアプリケーションを開発しています。つまり、すべてのユーザーがすべての部門のデータを表示できますが、特定の部門のデータを変更できるのは特定のユーザーだけです。ユーザー部門の特権データは、データベース内の結合テーブルに保持されます。

この種の状況（PHPの場合）で私が通常行うことは、ログイン時にユーザが編集できる部門のIDで入力されたセッション変数（配列）を作成することです。その後、ユーザーが編集機能にアクセスすると、ドロップダウンリストにはこれらの特定の部門のみが入力されます。私はまた、ユーザーの名前や現在の期間（ビジネス四半期）のIDのように頻繁に使用されるいくつかの他のセッション変数を設定します。

このタイプのアプローチは、MVC3に入るための良い方法ですか、それとも別のアプローチが良いですか？フォーム認証と特定の役割（従業員、管理者など）を使用する予定ではありますが、これらの種類の役割は部門ごとのアクセスを対象とするには広すぎます。 MVC3には、私がやろうとしているものよりも優れた方法があります。

ご指摘いただきありがとうございます。

Answer 1

ユーザー（UserId、DepartmentIdなど）はユーザーには変更されず、データ量も少ないため、セッションに保存します。セッション状態はあなたにとっても良いアプローチになると私は思っています。

Answer 2

私はフォーム認証を使用しています。特定の役割を追加し、必要に応じて組み合わせます。とにかく私が望むように組み合わせることができるので、私は役割に特化しても構いません。私はもっ​​と一般的な行動のために広い役割を果たすことができます。