2017-04-05 31 views
0

私は2種類のクライアントを認証するためにJWTを使用してREST APIを持っている: - Webアプリケーション を通じてユーザ - サービス認証:サービスの権利対ユーザー権限

各クライアントは、独自の権限を持っている(例えば、1缶のアクセスをAPIを使用してリソース1ではなくリソース2ではありません)。

サービスにはUIがある可能性があります。私が直面している問題は、サービスからUIアクションを介してサービスによって要求が送信されたときにAPIがどのような権限を考慮するべきかわからないということです。権利?ユーザー権利両方の交差点?

たとえば、APIが 'GET/products'を介して商品のリストを提供しているとします。そのリストはクライアントの権利によって制限されます。 - ユーザーUは商品1、商品2をリストできます。 - サービスSはproduct2、product3をリストできます。 サービスSのUIから、ユーザUに対してどのような商品を表示する必要がありますか?

答えて

0

あなたが求めていることを理解していれば、ユーザーとサービスの共通点について考える必要があります。 「サービス権」や「ユーザー権利」は、他のものがない場合はありません。代わりに、どのユーザーがどのサービスにアクセスできるかを決めるルールがあります。

通常、REST呼び出しはサーバーで処理されます。まず、ユーザーを識別し、ユーザーがこのサービスにアクセスできることを確認し、確認されたら実際のサービスを実行します。

+0

ありがとう、実際に私はユーザーがサービスにアクセスできる場合を考えていますが、リソースへのアクセスが異なります。もっと明確にするための例を追加しました! – jroy