我想使用JWT权限范围来控制对象级权限,例如如果我有一些模型,如:
组织 hasMany 分支 hasMany 员工
我希望将员工的编辑限制为属于该组织的管理员。
我认为JWT看起来像是:
{ permissions: ['123:admin' ] }
拥有此令牌的用户将能够编辑组织123下的任何员工。
权限检查将应用于 PATCH / Employees / {id} 端点,但必须在授权访问权限之前查找该员工的拥有组织。
对于此类问题,这是一种合理的方法,还是在处理对象级权限时有更多已建立的模式?