コレクションを表すリソースがあるが、認証されたユーザーがコレクション内のリソースのサブセットにアクセスする権限しか持っていないという状況を処理するクリーンな方法を探しています。
たとえば、ブログ API は次のようになります。
GET /post- リストの投稿
GET /post/1- 特定の投稿を取得
投稿は公開または非公開にすることができます。したがって、プライベート アクセスがあれば、/post API はすべての投稿を返すことができますが、パブリック アクセスしかない場合は、パブリック投稿のみを返すことに制限されます。
これは通常どのように処理されますか?キャッシュの影響はありますか? この場合、GET のセマンティクスを維持することに問題はありますか?
注: 認証は、リクエスト ヘッダーで送信されるトークンを介して処理されますが、それが同様に機能するかどうかはわかりません。
編集:明確にするために、実際の承認を処理する方法ではなく、RESTful システムでこれを正しくモデル化する方法に興味があります。