Javascript 从客户端(jQuery)检查ASP.NET MVC值(角色)
我有一个MVC应用程序,它基本上是一个页面,包含一系列AJAX调用,解析返回的JSON,然后使用jQuery填充页面。例如,如果我调用Javascript 从客户端(jQuery)检查ASP.NET MVC值(角色),javascript,asp.net-mvc,Javascript,Asp.net Mvc,我有一个MVC应用程序,它基本上是一个页面,包含一系列AJAX调用,解析返回的JSON,然后使用jQuery填充页面。例如,如果我调用/API/Users/List,它将返回一些JSON,然后我将解析它,并为每个用户动态创建一个li元素。然后,我在每个用户名旁边放置一个edit链接,并将其连接起来进行必要的编辑(使用另一个AJAX调用jQuery) 我想知道的是,如何根据角色显示/隐藏edit链接。我有一个强类型视图,可以用用户信息填充隐藏字段(),当然,我可以始终验证编辑操作发布到的控制器中的
/API/Users/Listlieditedit编辑操作发布到的控制器中的用户,但是,我想知道是否有办法在客户端上验证隐藏字段是否未被篡改,以便有人不会脱机保存文件,将隐藏字段更改为角色
,然后现在他们可以在不需要时查看编辑
链接
在这个人为设计的示例中,如果编辑
链接不能执行任何操作,那么能够查看这些链接并没有多大危害,但是在一些调用中,我将角色传递给API调用,它返回数据库中标记为“private”的数据,如果没有正确的权限,这些数据不应该被看到
因此,基本上,问题变成了“有没有办法在ASPX页面和JavaScript之间交换数据,然后JavaScript调用API,而不只是将数据存储在可能被篡改的隐藏字段中?”
谢谢,您不应该将角色作为ajax调用的参数传递
动作方法本身应该决定用户的角色。问题太长了。你可能想缩短它,并保持它的重点。好的观点。我想我应该编写API,以便在每个请求中发送一些用户ID或身份验证令牌。谢谢你直截了当的回答。我想你不需要寄。默认情况下,ajax请求应该包含身份验证cookie。您可以在网络下的firebug中进行检查。