我有一个REST API,它使用JWT来验证两种类型的客户端: - 用户通过Web应用程序 - 服务
每个客户端都有自己的权限(例如,一个人可以使用API访问资源1但不能访问资源2。)
现在一个服务可以有一个UI,我面临的问题是,当服务通过用户操作从服务UI发送请求时,我真的不知道API应该考虑哪些权限:服务权限?用户权利?两者的交集?
例如,假设API通过'GET / products`提供产品列表,该列表可以受客户端权限的限制: - 用户U可以列出product1,product2。 - 服务S可以列出product2,product3。 应该从服务S的UI中为用户U列出哪些产品?
答案 0 :(得分:0)
如果我了解您的要求,您应该考虑用户和服务的交叉点。没有"服务权"或"用户权利"在没有对方的情况下。相反,有规则规定哪些用户可以访问哪些服务。
通常,在服务器上处理任何REST呼叫,方法是首先识别用户并验证用户是否可以访问此服务,然后在验证后执行实际服务。