У меня есть вопрос по поводу пользовательской авторизации в MVC.

У меня есть сайт, который я хочу ограничить доступ к определенным страницам, в зависимости от их членства в группе. Теперь я видел множество примеров того, как это сделать, если есть, например, одна группа администраторов и одна группа пользователей, но нет примеров для третьего уровня.

Например, только пользователи компании могут просматривать заказы для своей компании (и у каждой компании есть свои администраторы и т. Д.). Эти компании хранятся в БД. Итак, я видел способы сделать пользовательскую авторизацию, переопределяяAuthorizeCore метод наAuthorizeAttribute, но я не знаю, как получить доступ к параметрам, передаваемым в контроллер, чтобы узнать, есть ли у пользователя доступ к заказу (например, идентификатор заказа).

Является ли это даже лучшим местом для проверки, или это должно быть сделано непосредственно из метода контроллера?