私のアプリケーションの基本的なアーキテクチャは、多言語ストレージ層の上にある RESTful API を使用する React フロントエンドです。
フロントエンド:
API を使用する React
バックエンド:
Python
Flask
認証
Auth0+OKTA
すべてがうまくいっています。ただし、ユーザーにはさまざまな役割が必要です。つまり、ロールに基づいてユーザーがリソースに対して実行できるアクションを制御する必要があります。
例: -
ユーザー A が新しいユーザーを追加したい -
彼はリクエストにトークンを持っているので、ユーザー A が認証されていることがわかります -今
、彼が自分の役割に基づいて実際にユーザーを追加できることを確認する必要があります。
他のソリューションで提案されているように、ユーザー ロールをハードコーディングしたくありません。また、カスタム ロールを追加できるようにしたいと考えています。
また、私は人々の時間を尊重したいと思っているので、私の懸念に対処するリソースがあれば、遠慮なく教えてください。
これらは私の質問です:
1. 私が達成しようとしていることを実装するためのベストプラクティスはありますか?
2. 承認 (認証ではない) について説明している例またはチュートリアルを教えてください。
3.認証されたユーザーもアクションを実行できるかどうかを各サービス呼び出しで確認しますか、または承認後に何らかの形でロールを提供するので、サービス要求には認証トークンと承認トークンの両方が含まれますか?(これは非常に簡単にハッキングできるようです。ないと思います…)
承認のトピックについて混乱しているように聞こえるとしたら、それは私が混乱しているからです。参考になったリソースがあれば教えてください。
お時間を割いていただき、ありがとうございます。ほんとうにありがとう。