架构问题,高手进!

对某些类的权限管理。如何做？是不是实例化的时候传递一个“用户”实例，然后检查这个用户是否拥有这个权力？还是直接在UIL层检查权限然后封锁按钮、菜单一些东西？可是这样总觉得没在BLL层限制不安全
额，怎么就不安全了？？你到说说看。人家用softice去跟踪下断点，然后修改源代码？？？？难道人家只会跟你的UI，就不会跟你的bil？？？
是的，如果只是在UI层用灰掉按钮的方法来确认权限的话，是无法防止伪造的http请求直接调用你灰掉按钮的方法的。毕竟调用一个按钮的方法也是一次http提交而已。我想更好的方法还是，把sessoin中的user对象传入到，bll层的方法中直接加入权限判断来的安全些。或者在按钮的调用方法中再一次做权限判断。
不放心的就两个都做UI做控制，BLL也做控制。