我有一个相当简单的用例,但无法弄清楚如何将它拼接在一起。
基本上我想对普通用户使用用户限制访问,即他们可以通过API上传文件,其他用户无法通过API接触这些文件。
同时我希望特殊用户(管理员/超级用户)能够使用API进行GET,例如特定用户的所有文件。
有没有人对这方面的例子有任何指示,或者可以帮助我指出正确的方向来做这件事?
我想到的一个想法是将另一个(可选)参数传递给check_auth,其中包含管理员想要查看的用户的_id,因此如果管理员传入该参数,它将覆盖管理员自己的_id。这有用还是check_auth有一个设置参数列表?这种方法有什么安全问题吗?
或者是否有更好的方法 - 可能使用相同的mongoDB集合的单独API实例(甚至可能?)。
此致 安东