いくつかのダイアログ/モーダルウィンドウを備えたシングルページアプリになる新しいWebサイトを開発しています。フロントエンドにバックボーンを使用したい。これにより、ajax / websocketsを使用してバックエンドが呼び出され、テンプレートを使用して結果のjsonがレンダリングされます。
バックエンドとして、nodejs expressアプリを使用します。これは、クライアントに必要なjsonを返します。これは、ある種のAPIになります。これはサーバー側のビューを使用しません。
クライアントは、認証および場合によってはカスタム登録フォームにFacebook、Twitterなどを使用します。
css、js、htmlファイルなどのクライアント静的リソースはnginx(CDN以降)によって処理されます。
私が今持っている質問:
- 特定のユーザーがAPIで何らかのアクションを実行する権利を持っていることをどのように判断できますか(つまり、建物を削除する、新しい建物を作成する)?これは承認の質問です。ユーザーがログインするときに役割を与え、それに基づいてユーザーの権利を決定することを考えました。これは機能しますか?
- 上記の質問と同様に、この役割ベースのセキュリティはAPIを保護するのに十分ですか?または、トークンやリクエスト署名などを追加する必要がありますか?
- このアーキテクチャは受け入れられますか、それとも私はエンジニアリングと複雑さを超えていますか?