如何设置ASP.NET中用户只能编辑或删除自己创建的数据记录？

在ASP.NET开发中，实现用户只能修改自己添加的数据是一个常见的需求，这不仅可以提高数据的安全性，还可以防止用户篡改或删除其他用户的数据，以下是如何在ASP.NET中实现这一功能的详细步骤和代码示例。

第一步：数据库设计

确保你的数据库中有一个字段来标识数据的所有者，假设你有一个Posts表，其中包含UserId字段来标识每个帖子的所有者。

CREATE TABLE Posts (
    PostId INT PRIMARY KEY IDENTITY,NVARCHAR(255),
    Content NVARCHAR(MAX),
    UserId INT,
    CreatedAt DATETIME
);

第二步：创建用户会话

在ASP.NET中，你需要确保在用户登录后，会话中存储了当前用户的ID，这可以通过Session对象来实现。

public void Login(string username, string password)
{
    // 查询数据库验证用户名和密码
    // ...
    if (isValidUser)
    {
        Session["UserId"] = userId;
    }
}

第三步：数据访问层

在数据访问层（DAL）,你需要编写方法来检查用户是否有权限修改数据。

public bool CanEditPost(int postId, int userId)
{
    using (var context = new MyDbContext())
    {
        var post = context.Posts.FirstOrDefault(p => p.PostId == postId);
        return post != null && post.UserId == userId;
    }
}

第四步：控制器逻辑

在控制器中，当用户尝试编辑或删除帖子时，你需要调用CanEditPost方法来检查权限。

[HttpPost]
public ActionResult EditPost(int postId)
{
    if (!CanEditPost(postId, (int)Session["UserId"]))
    {
        return new HttpStatusCodeResult(403); // Forbidden
    }
    // 编辑帖子的逻辑
    // ...
}

第五步：前端验证

在前端,你可以使用JavaScript来进一步验证用户是否有权限。

function canEditPost(postId) {
    var userId = parseInt(sessionStorage.getItem('UserId'));
    // 假设有一个隐藏字段来存储帖子所有者的ID
    var postOwnerId = parseInt(document.getElementById('postOwnerId').value);
    return userId === postOwnerId;
}
if (!canEditPost(postId)) {
    alert('您没有权限编辑这个帖子。');
}

经验案例

假设我们有一个在线论坛，用户可以添加帖子，在这个论坛中，我们使用了ASP.NET和Entity Framework来构建数据访问层，通过在Posts表中添加UserId字段,我们能够确保用户只能修改或删除自己添加的帖子。

FAQs

Q1：如果用户尝试修改或删除其他用户的帖子，会发生什么？

A1：如果用户尝试修改或删除其他用户的帖子，控制器中的权限检查将返回false，然后返回403 Forbidden响应，告知用户没有权限执行该操作。

Q2：如何处理用户会话失效的情况？

A2：如果用户会话失效，系统应该重定向用户到登录页面，要求用户重新登录，这样可以确保所有操作都由已验证的用户执行。

文献权威来源

《ASP.NET MVC 5 入门与实战》 电子工业出版社 《Entity Framework 6.0 高级编程》 电子工业出版社