minui 框架 如果要加入 页面 和按钮权限 应该在那个层做处理

chenj1985

minui 框架 如果要加入 页面 和按钮权限 应该在那个层做处理

chenj1985

我看 ajaxservice的后台 有//权限管理
        protected void BeforeInvoke(String methodName)
        {
            //Hashtable user = GetUser();
            //if (user.role == "admin" && methodName == "remove") throw .      
        }
        //日志管理
        protected void AfterInvoke(String methodName)
        {

        } 这2段代码 如果加在这里 不知道 怎么 去控制 具体页面

factory

chenj1985 发表于 2012-6-26 15:47
我看 ajaxservice的后台 有//权限管理
        protected void BeforeInvoke(String methodName)
        { ...

BeforeInvoke这个方法会在你执行后台操作之前被调用，进行权限的判断，如果权限不够，抛出异常

chenj1985

factory 发表于 2012-6-26 16:27
BeforeInvoke这个方法会在你执行后台操作之前被调用，进行权限的判断，如果权限不够，抛出异常 ...

权限不够只是 一种情况而已  又不属于异常 怎么抛呀

factory

chenj1985 发表于 2012-6-27 10:20
权限不够只是 一种情况而已  又不属于异常 怎么抛呀

你在操作的时候，ajax提交到后台，BeforeInvoke在后台会被调用到，你在里面做判断，然后返回回来判断信息。

buyiyanqi

factory 发表于 2012-6-27 10:30
你在操作的时候，ajax提交到后台，BeforeInvoke在后台会被调用到，你在里面做判断，然后返回回来判断信息 ...

但是我们在权限验证的时候，会将用户编号在页面中采用显示并添加到url后面传回都服务端验证，如：
../data/AjaxService.aspx?method=SaveEmployee&currentUserID='zhangs'  这种方式传回到服务端验证编号为zhangs的是否有这个更新Employee的权限，这样做是非常不安全的，加入现在是lis登录系统，当他在修改Employee，构造的url应该为../data/AjaxService.aspx?method=SaveEmployee&currentUserID='lis' ，这个时候系统会提示他没有修改的权限，这个时候他通过修改url（../data/AjaxService.aspx?method=SaveEmployee&currentUserID='zhangs' ）方式伪装为zhangs，就可修改Employee。

这种方式有没有好的解决方法啊。
谢谢

niko

你系统是URL处理的。
应该在后台Session获得登录用户信息，判断是否有权限。