在通过restful sevices公开用户资源(用户数据)的上下文中, 我希望如果第二个用户不是该数据的所有者,则无法从其他用户访问其中一个用户的数据。 而不是重新发明一些复杂的模型来映射每个用户身份与其数据(编程解决方案) ,是否有一些最佳实践或设计模式或任何类型的模型,我可以应用于这个问题? 使用用户配置文件,我确保某种用户无法访问其他类型用户的数据,但我无法确定相同配置文件的用户不会访问其他用户数据。
答案 0 :(得分:0)
您需要对用户进行身份验证,然后将用户与数据(您称之为复杂/程序设计)相关联,或者只是让除了创建数据的用户以外的所有人都无法读取数据。就像用户使用私钥加密所有数据一样,然后将其存储在您的服务器上。这有点不同,因为任何人都可以访问数据,他们只是无法理解它。
我不推荐第二种方法,因为您无法使用配置文件数据(生日,兴趣,您在该配置文件中可能拥有的任何内容),而且每个人都可以看到加密数据。
但是你的想法是重新发明复杂的东西是矛盾的,如果它是如此复杂,为什么在你可以使用基于ton of plugin的身份验证方案时重新发明它。在这种情况下,安全性是事后的想法吗?如果是这样,那就不应该。如果您要确保这一点,那么提供它应该是一个高优先级。