認証：サービスの権利対ユーザー権限

Question

私は2種類のクライアントを認証するためにJWTを使用してREST APIを持っている： - Webアプリケーション を通じてユーザ - サービス

各クライアントは、独自の権限を持っている（例えば、1缶のアクセスをAPIを使用してリソース1ではなくリソース2ではありません）。

サービスにはUIがある可能性があります。私が直面している問題は、サービスからUIアクションを介してサービスによって要求が送信されたときにAPIがどのような権限を考慮するべきかわからないということです。権利？ユーザー権利両方の交差点？

たとえば、APIが 'GET/products'を介して商品のリストを提供しているとします。そのリストはクライアントの権利によって制限されます。 - ユーザーUは商品1、商品2をリストできます。 - サービスSはproduct2、product3をリストできます。 サービスSのUIから、ユーザUに対してどのような商品を表示する必要がありますか？

Answer 1

あなたが求めていることを理解していれば、ユーザーとサービスの共通点について考える必要があります。 「サービス権」や「ユーザー権利」は、他のものがない場合はありません。代わりに、どのユーザーがどのサービスにアクセスできるかを決めるルールがあります。

通常、REST呼び出しはサーバーで処理されます。まず、ユーザーを識別し、ユーザーがこのサービスにアクセスできることを確認し、確認されたら実際のサービスを実行します。