認証付きのRESTサービスがあります。したがって、認証されていないクライアントが特定のことを実行するのを防ぐことができます。
しかし、コミュニティのようなサービスのアクセス制御を行うにはどうすればよいでしょうか。
つまり、次のようなものがあります
プロフィールを編集するには、友達だけがダウンロードできます。管理者はプロフィールを削除できます。モデレーターは投稿を削除できます。
これは私には別の問題のように思えます
私は役割のようなものを手に入れました:管理者、モデレーター、ユーザー
私は「友達」のようなものを手に入れました:ユーザーの動的なリスト
リクエストごとにルート上で試合を行うことができます。これはRESTサービスであるため、ルートは何が行われるかを定義します。したがって、すべてのルートをインターセプトしてアクセス許可を確認することができます。これにより、コントローラーからのアクセス許可の確認が維持されます。
しかし、それをどのように保存するのですか?DB内のすべての情報に添付するのか、それとも個別のデータ構造を構築して維持するのか。最後の場合、それをどのように構成するのですか?