Autorizacion de funciones en ASP.NET MVC 2

Estoy creando una aplicación asp.net mvc que posee 2 tipos de usuarios, uno administrador y otro de alumno. El administrador puede dar de alta alumnos, profesores, materias,etc. mientras que el alumno solo puede editar su perfil, por ejemplo:


alumnoID= 1 puede editar su perfil, vaya a http://localhost/alumno/editar/1

alumnoID= 2 puede editar su perfil, vaya a http://localhost/alumno/editar/2

y el administrador tiene un panel aparte.

Al autorizar mediante un login al alumno 1 este puede entrar y editar su propio perfil (como debe ser capaz de hacerlo), pero también puede simplemente cambiar la URL a http://localhost/alumno/editar/2 y tiene acceso total a editar al alumno 2 (que no debería ser capaz de hacer).

como puedo hacer que esto funcione?

desde ya muchas gracias :D



PD: es mi primer post, trate de buscar algun tema abierto de esto pero no encontre.

debes cambiar el web.config para que solo usuarios registrados puedan ver tu web (http://msdn.microsoft.com/es-es/library/532aee0e%28v=VS.100%29.aspx), debieras usar controles de login (http://msdn.microsoft.com/es-es/library/system.web.ui.webcontrols.login%28v=VS.100%29.aspx ), y podrias guardar el rol en una variable de session (http://msdn.microsoft.com/es-es/library/87069683%28VS.80%29.aspx) segun el rol en load_page podrias restringirlo.