在视图中使用安全条件是否违反了MVC？

通常，显示给用户（例如网页）的内容将部分基于安全检查。我通常将用户级/ ACL安全性视为系统业务逻辑的一部分。如果视图明确检查安全性以有条件地显示UI元素，是否通过包含业务逻辑来违反MVC？

可以有两种类型的安全条件，一种在模型上，另一种在视图上。该视图根据当前用户的权限控制相关元素的显示，但是模型控制对基础数据的访问。只要模型具有所有正确的验证/确认，那么即使缺少视图，也仍然具有安全性。

通常，您必须同时拥有两者，因为视图需要针对不同的级别/角色进行更改。控制器发送了将改变视图的相关数据，但是视图仍然需要对该数据进行某些操作以向正确的用户隐藏/显示内容。

这就是为什么大多数模板框架都有条件元素的原因（Handlebars示例）：

{{#if isCurrentUserAdmin}}
    ....
{{/if}

因此，只要适当的部分在正确的位置，这并不意味着违反。

是的，没有。

如果实际的安全性决定是由视图决定的，那么是的，您违反了MVC。但是，如果视图将实际决策委托给模型，那么您就可以了。基于模型的信息来决定要显示哪些元素的观点没有错。

例如，如果您有一个“编辑”按钮，仅对具有“编辑者”许可权的用户可见，则视图可以询问模型当前用户是谁以及他们是否具有“编辑者”许可权，然后使用此信息来决定是否显示按钮。但是，如果视图本身要执行身份验证和授权逻辑，那么您将违反MVC。

我会说没有。

但是出于与@rvcoutinho说的原因不同的原因（尽管他引用了维基百科，这使我在思考中感到不对）

我要说的是，给模型的模型应该共享所有相关的安全性问题（这取决于您出于这个原因可能希望使用ViewModel的组合数量），因为您可以为安全性位设置开关。

这允许进行两层安全验证：在UI层，因此对于正常情况颠倒了回发，在服务器层中，对于不良行为者，该模型保留了其内部的安全知识，因此控制器将信息传递给立即将其扔出的模型。

这样的两层安全性是行业中的标准，并且这种方式允许您只需要在两个地方存在安全逻辑，因此这是一个好处，一旦将安全逻辑放入控制器中，就将其放到控制器中， UI和模型中的（模型需要它，因为它是最后一道防线，对于MVC Web应用程序之外的任何使用（例如桌面客户端或任何服务器管理工​​具）尤其重要）

我会说没有。

通常，这种安全检查将由控制器进行。

从维基百科：

控制器可以将命令发送到其关联的视图，以更改模型的视图表示

而且我认为不应直接在视图中完成。例如，如果通过javascript完成，则可能是一个安全问题（可以禁用javascript并访问优先数据）。

再次，来自维基百科：

视图从模型中请求生成输出表示所需的信息。

这个问题涉及几个问题。

1. 认证（是这个用户他说他是谁）应不会是查看关注的问题。
2. 授权（是否允许当前用户执行此操作）是 View关心的问题，因为它会影响向用户呈现的内容。因此，用于显示编辑按钮的代码可以用条件包围if model.userCanEdit() ... endif。
3. 确定用户具有哪些授权属性，即业务逻辑，应将其放置在模型中。（例如，“编辑”特权要求您具有2000声誉；或者您必须是作者或主持人）

如果只显示UI元素，我认为还可以（您还怎么做？）。如果这些元素中有任何数据，则模型应确保容器为空。当然，获取许可权数据的代码应该在视图之前进行处理，因此这里没有对模型的有效访问。

如果视图明确检查安全性以有条件地显示UI元素，是否通过包含业务逻辑来违反MVC？

是的，它违反了MVC。

该视图仅用于显示元素，逻辑应在模型中。通过使视图执行某些操作（在您的情况下，请检查安全性），就可以在其中放置逻辑。