我需要一些社区反馈。我意识到我的大多数REST端点需要根据客户端的凭据显示不同的结果。但是,我在混乱的公共/私人端点上(精神上)正在努力。所以说我有一个公开的小部件列表,不需要身份验证就可以查看但不显示价格。同时,如果您已登录(提供访问令牌),则需要查看整个窗口小部件记录,包括定价。
从逻辑上讲,我想在这种情况下将公共与私人分开。一个是列表,将始终是一个列表,不会显示任何私人信息,而另一个端点更像是管理员(是的...我把这个词提升了)。所以我本能地想要做一些事情:
...而不仅仅是后者,与经过身份验证的客户端不同地处理非身份验证的客户端。问题是客户端应用程序的端点更多,可能更复杂。
有什么想法吗?
答案 0 :(得分:1)
从技术角度来看,“混合安全”是要走的路。从概念上讲,您有一个端点 - 一组窗口小部件资源。您希望不同的用户能够对集合执行不同的操作并不会改变这一点。基于凭证进行分支应该不难。
从商业角度来看,您建议将复杂性推向客户而不是自己处理。您如何看待客户对此做出反应?7