0

患者と医師向けのアプリがあるとします。

患者は、「site.com/api/patients/」で自分の情報にアクセスできる必要があります。

医師も患者に関する情報にアクセスできる必要がありますが、患者とは異なる情報を受け取ることになります。

これを処理する 2 つの方法を想像できます。

api/patients異なる権限間で分割するロジックを使用

また

api/patients患者および api/doctors/patients医師が患者に関する情報を取得するため

これは比較的問題ないように思えますが、医師と患者の両方が患者にタスクを追加できるとどうなるかを考え始めました。

api/patients/tasks/患者がタスクを追加するのですが api/doctors/patients/tasks、ネストに関してはかなり悪くなります(ルートの深さを制限する方が良いと思います)

api/patientsユーザーが医師なのか患者なのかを確認したり、リソースをネストしたりするほうがよいのでしょうか? ベスト プラクティスに関するコンセンサスは何ですか (ある場合)?

次のような API エンドポイントがあると便利です。

api/tasks/ api/patients api/doctors/

これにより、物事がシンプルになり、トークンまたはクエリ文字列を使用してアクセス許可/認証を制御できます。

4

1 に答える 1

1

api/doctors/patients などは絶対に行わないでください。

これは、医師用と患者用の 2 つの異なる API にする必要がありますか? 機能の重複がどれだけあるかによって異なります。

いずれにせよ、ユーザーの認証/承認情報をすでに追跡しているはずです。そうしないと、医者に行かない患者を修正する医者がいるでしょう。認証情報を使用して、呼び出し元でサポートされている値/オプションを判断します。

ボブ博士のトークン/クエリ文字列をコピーして自分のリクエストを送信するケースを処理していると思いますか?

于 2013-07-24T02:01:41.710 に答える