我正致力于从授权角度保护 REST API,但对一件事感到困惑。
比方说,应用程序是关于例如博客的 CRUD 操作。并且有 3 种角色:用户、经理、管理员。
用户:应该有权在博客上进行 CRUD。 经理:应该有权对用户进行 CRUD。 管理员:应该有权对用户和博客进行 CRUD。
我的困惑是,谁可以将角色分配给谁?
我的想法是:
这样,我就必须在某处保留有关谁可以分配哪些角色的信息,也许在角色表本身中?
此外,可能还有另一种观点,即创建 assignRole
权限并将此权限添加到角色可以执行的权限列表中。但在这里我们将如何限制谁可以分配什么角色。
请指导我管理分配角色的最佳实践是什么,以便可以扩展设计。