Разработвам приложение на Azure, използвайки този стек:
(Клиент) Angular/Breeze
(Сървър) Web API/Breeze Server/Entity Framework/SQL Server
С всяка заявка искам да се уверя, че потребителят действително има разрешение да изпълни това действие с помощта на код от страна на сървъра. Въпросът ми е как най-добре да внедря това в контекста на Breeze/Web API.
Е най-добрата стратегия за:
Да промените контролера на Web API и да опитате да анализирате съдържанието на заявката Breeze, преди да я прехвърлите по-надолу по веригата?
Да промените EFContextProvider и да добавите тест за оторизация към всеки изложен метод?
Преместете цялата защита в слоя база данни и се уверете, че User GUID и Tenant GUID са задължителни параметри за всяка заявка и връщат само подходящи данни?
Някакво друго решение или комбинация от горните?