Zaštićene akcije na kontroleru bi uvek trebao da dekorišeš sa Authorize atributom, čak i ako nemaš link ka toj akciji na view-u, jer korisnik može da ukuca šta god hoće u URL i onda nastaje haos. Redosled izvršavanja je takav da se uvek prvo izvrši Action Filter pa tek onda kod koji se nalazi u kontroleru.
Ukoliko su sve akcije na kontroleru zaštićene, onda možeš da dekorišeš samo kontroler sa nekim atributom umesto da dekorišeš svaku akciju posebno.

U kontroleru ispitaj da li je korisnik autorizovan i tu vrednost prosledi na View:

i na View samo ispitaš taj uslov:

Ukoliko ti je smor da na svakom View-u proveravaš taj uslov i generišeš link, možeš da napraviš custom HTML helper i time uštediš malo vremena.
http://weblogs.asp.net/scottgu...elper-syntax-within-razor.aspx


Generalno sva biznis logika (da li je korisnik autorizovan da uradi nešto itd.) se nikada ne piše u View jer možeš vrlo lako da se pogubiš šta ide u kontroler, šta ide u View, a šta ide u neke druge slojeve tvoje aplikacije...

Ja to radim ovako:
- Repository za data access i on nikada nije referenciran u web projektu
- Service kao proxy i za svu biznis logiku, keširanja, itd. On je referenciran u web projektu i ako ti je potreban pristup Repository-u, to ide preko njega
- Controller poziva Service, domenske modele mapira u ViewModel-e i poziva odgovorajući View
- View iscrtava samo ono što mu je prosleđeno preko ViewModel-a. Ne sadrži nikakvu logiku osim prostih foreach i if petlji

Od alata gotovo uvek koristim AutoMapper, StructureMap i Elmah.

_{[Ovu poruku je menjao Dejan Carić dana 28.12.2011. u 10:12 GMT+1]}

E, hvala na opsirnom odgovoru. Zapravo, ako idem preko ViewModel-a onda bi trebalo nesto kao ViewModel.IsAuthorizedFor("Delete") jer mi treba posebno za tu akciju. Pa onda ViewModel.IsAuthorizedFor("Add") itd. Tako bih nesto i uradio ako ne postoji direktna podrska, samo me zanimalo da li postoji nesto ugradjeno za to, cisto da ne ubacujem podatke o tome u Model (ili ViewModel) ako vec postoje dostupni.

samo mali predlog, izegavaj magic strings ako ikako mozes. Meni se generalno asp.net mvc ne svija ali mi je ceo taj koncept sa konvencijom preko stringova posebno odbojan i potpuno kontra sa celom "testable" koncepcijom koju MVC prodaje.

Slazem se za to, ni ja ne volim koriscenje stringova na taj nacin, nevezano za mvc, al' je ovde dobro posluzilo za jednostavni prikaz.

Nema ništa ugrađeno, moraš sam da napraviš... ali nema potrebe ni da praviš ViewModel.IsAuthorizedFor("Delete")

Jednostavno, napraviš ovakav ViewModel:


u kontroleru mu nasetuješ te vrednosti, a na View pozoveš HTML helper koji kao argumente prima bool showLink, string actionName, string controllerName i object routeValues:


I tvoj helper bi trebalo da vrati null ukoliko mu proslediš false ili pravi link ukoliko mu proslediš true.


Obično takve html helpere koristim za img tagove da bih izbegao pisanje if petlji.
Helper prima putanju do slike i alt text kao argumente. Ako je putanja prazna, vraćam string.Empty ili default sliku. Ukoliko je alt text prazan vraćam alt="".