Boa prática para fazer uma autorização comum em uma fábrica de controladores personalizados?
Meus controladores compartilham uma identificação de cliente. Rota
clients/{clientId}/{controller}/{action}/{id}
URLs de exemplo:
clients/1/orders/details/1
clients/2/children/index
clients/2/cars/create
Você precisa de autorização adequada para um cliente. Não quero fazer a mesma autorização de cliente em todos os controladores. Eu tive a ideia de fazer a autorização em uma fábrica de controladores personalizados como esta:
public class CustomControllerFactory : DefaultControllerFactory
{
private readonly IAuthService _authService;
public CustomControllerFactory(IAuthService authService)
{
_authService = authService;
}
protected override IController GetControllerInstance(
RequestContext requestContext, Type controllerType)
{
var doAuth = requestContext.RouteData.Values.ContainsKey("clientId");
if (doAuth)
{
var principal = requestContext.HttpContext.User;
var clientId = long.Parse(
requestContext.RouteData.Values["clientId"].ToString());
var authorized = _authService.Client(principal, clientId);
if (!authorized)
{
return new AuthController();
}
}
return base.GetControllerInstance(requestContext, controllerType);
}
}
Você considera isso uma boa prática ou não? Por quê