Czy wykorzystanie ORM lub jakiegoś service, który z niego korzysta w AuthorizationHandler będzie czymś złym? Posiadam kwerendę, która sprawdza czy użytkownik o danym ID należy do zespołu, który ma prawa do zasobu. Na podstawie tej informacji otrzymanej z bazy chcę udzielić dostępu do zasobu lub go nie udzielić. Wykorzystuję asp.net core 2.2
0
1
Możesz użyć, dodatkowo jeśli te prawa do zasobu się nie zmieniają lub zmieniają rzadko, warto takie dane wsadzić do cache.
1
Zespoły, do których należy użytkownik powinny się znajdować w claimsach (jednokrotny odczyt po zalogowaniu użytkownika). Później, przy próbie dostępu do zasobu wystarczy te claimsy odczytać.