我有一个带身份验证的REST服务。因此,我可以阻止未经过身份验证的客户执行特定操作。
但是如何为类似社区的服务进行访问控制?
我的意思是,有像
这样的东西您可以修改个人资料 只是你的朋友可以下载它 只有管理员可以删除您的个人资料 版主可以删除帖子 等
这对我来说似乎有不同的问题
我有类似角色:管理员,主持人,用户
我有类似“朋友”的东西:动态的用户列表
我可以针对每个请求在路线上进行匹配。因为它是一个REST服务,所以路由定义了如何完成。所以我可以拦截每个路由并检查它的权限,这将保持来自控制器的权限检查。
但如何储存呢?将其附加到DB中的每条信息或构建并维护单独的数据结构?如果是最后一个,如何构建呢?