私は2種類のクライアントを認証するためにJWTを使用してREST APIを持っている: - Webアプリケーション を通じてユーザ - サービス認証:サービスの権利対ユーザー権限
各クライアントは、独自の権限を持っている(例えば、1缶のアクセスをAPIを使用してリソース1ではなくリソース2ではありません)。
サービスにはUIがある可能性があります。私が直面している問題は、サービスからUIアクションを介してサービスによって要求が送信されたときにAPIがどのような権限を考慮するべきかわからないということです。権利?ユーザー権利両方の交差点?
たとえば、APIが 'GET/products'を介して商品のリストを提供しているとします。そのリストはクライアントの権利によって制限されます。 - ユーザーUは商品1、商品2をリストできます。 - サービスSはproduct2、product3をリストできます。 サービスSのUIから、ユーザUに対してどのような商品を表示する必要がありますか?
ありがとう、実際に私はユーザーがサービスにアクセスできる場合を考えていますが、リソースへのアクセスが異なります。もっと明確にするための例を追加しました! – jroy