REST授权

时间:2013-11-05 14:47:35

标签: rest

我们有像http://api.ourdomain.com/dashboard/resource-id之类的休息调用方法:GET;其中resource-id是与登录用户绑定的资源的id。我们不希望任何用户能够访问其他用户的资源。

因此,要确定资源是否与当前登录用户绑定,我们必须执行一些查询(联接)以了解具有resource-id的此资源是登录用户。嗯,这是我们拥有的许多案例之一。我们当然不能制定一种通用的AOP方法来决定登录用户是否有权查看所请求的资源,因为决定的逻辑对于不同的资源是不同的。其他解决方案可能是:在每个“资源”数据库表中都有“createdBy”列,以便决定的逻辑非常简单,即只检查当前登录的user == resource record是否为createdBy列。但后者似乎有点古怪。有什么建议,我们如何为此设计解决方案?

0 个答案:

没有答案