ASP.NET MVC Cómo administrar el contenido del usuario utilizando el proveedor de membresía ASP.NET

Question

Vengo de 5 años de experiencia con formularios web ASP.NET, y soy nuevo en ASP.NET MVC. Ahora intento aprender MVC con algunos tutoriales, videos tutoriales y libros.
Estoy usando Visual Studio 2012 y la nueva ASP.NET MVC 4 para crear una pequeña aplicación web para administrar mi cartera de fondos mutuos. Esto debería permitirme entrar en el nuevo patrón y aprender muchas cosas nuevas ...
Mi aplicación también debería permitir que otros amigos hagan lo mismo. Por lo tanto, tiene que administrar diferentes portafolios de usuarios.
He creado una pequeña base de datos con Entity Framework Code First, así que tengo algunos modelos básicos: Fondo, Portafolio, Compartir, Depósito, Fuente y Usuario. Un usuario puede tener muchas carteras con muchos fondos dentro de ellas. Cada usuario tiene su propia lista de depósitos. Cada fondo tiene muchos valores compartidos (uno/día).
El modelo de origen es simplemente una tabla donde pongo una URL para cada fuente de sitio web para compartir datos de un fondo específico. Entonces, un fondo tiene muchas fuentes. Luego uso una clase de raspador para obtener datos de esos sitios web una vez al día.
Esta es la estructura principal de la aplicación. Ahora, necesito saber cuál sería la mejor manera de:

1) Administrar la cuenta de un usuario.
¿Debo integrar la estructura de la base de datos de membresías de ASP.NET en mi base de datos y usarla en lugar de mi tabla de usuarios personalizada para administrar usuarios?

2) Manejo de contenido de usuario: carteras, fondos, etc.
¿Cuál es el más fácil dey más elegante forma en el patrón MVC, para implementar la autenticación y todas las validaciones de autorización para que el usuario conseguir sus propios datos? ¿Debo verificar esto dentro de cada acción en cada controlador?

Entonces, en otras palabras, ¿cómo debo implementar mis controladores? Por ejemplo:

[Authorize] 
public class PortfolioController : Controller 
{ 
    private FundMonitorContext db = new FundMonitorContext(); 

    public ActionResult Index() 
    { 
     // Check user ID and give back to the view only his portfolios... 

     var portfolio = db.Portfolios.List(); 
     return View(portfolio.ToList()); 
    } 

    ... 

    public ActionResult Details(int id = 0) 
    { 
     ... 
    } 

    //Other actions... 
} 

¡Realmente agradecería cualquier sugerencia!

Answer 1

1. Es una elección que tiene que hacer usted mismo pero me gusta crear mi propio proveedor de membresía, y no es tan difícil. Con su propio proveedor puede hacerlo a su manera, no como lo que Microsoft pensó que era genial hace 10 años. Ejemplo: http://www.codeproject.com/Articles/165159/Custom-Membership-Providers.
   En .NET 4.5 es aún más fácil con SimpleMembershipProvider crear su propio proveedor.

2. Con el atributo [Autorizar] le está diciendo al controlador que solo se aceptará al usuario autorizado. Cuando un usuario inicia sesión, puede poner el nombre de usuario/ID de usuario en la cookie FormsAuthentication, por lo que puede obtener fácilmente el nombre de usuario/ID de usuario. También puede crear tics de autenticación en la cookie si desea incluir más datos en ella.
   
   Para que sea más fácil de probar, no recomiendo crear un enlace entre HttpContext.User e IPrincipal, http://www.hanselman.com/blog/IPrincipalUserModelBinderInASPNETMVCForEasierTesting.aspx.

Answer 2

Use Identity 2.0 para autenticación y autorización. Encontré este blog http://typecastexception.com/post/2014/04/20/ASPNET-MVC-and-Identity-20-Understanding-the-Basics.aspx bastante útil.Básicamente, usted obtendrá demandas de autenticación basada y luego puede decorar sus acciones con el AuthorizeAttribute como

[Authorize(Roles="Admin, Moderators")] 
public ActionResult MyAction(...) 

y se puede ver en las reclamaciones a través de la propiedad User.Identity en el controlador.