私はこのシナリオを持っています:
1 ユーザー - N プロジェクト
1 プロジェクト - N タスク
1 プロジェクト - N コメント
ユーザーが認証されると、次のことができます。
/api/tasks/1
彼のタスクを削除するには
/api/comments/1
彼のコメントを取得するためですが、彼が /api/comments/2 を実行しているとき、彼は他の誰かのタスクを読み取ります
ユーザー アクション (URI の操作) をインターセプトし、ユーザーがこのタスクを削除できるかどうかを一般的な方法で確認するにはどうすればよいですか。
タスクとコメントは userId について何も知らないので、ユーザーが他の人のデータを削除することをどのように禁止できますか?
ユーザーとロールのシナリオについて話しているのではありません。URI を操作して、他の誰かに属するリソースを削除することについて話しているのです。
@A Khudairyの質問に答える更新
1) メール + パスワードが api に送信されます。
2) API は、ユーザー トークンを使用してユーザーを返します。
3) 次に、すべてのリクエストでトークンが api に送信されます (これにより、どのユーザーが何をしているかがわかり、バックエンドでこれを処理します)。