У меня есть такой сценарий:Защитите свои веб-действия API от авторизованных пользователей
1 Пользователь - N Project
1 проект - N Задача
1 Project - N Комментарий
Когда пользователь что он может сделать:
/api/tasks/1
, чтобы удалить его задачу, но когда он делает/api/задачи/2 он удаляет задачу кого-то другого
/api/comments/1
, чтобы получить его комментарий, но когда он делает/API/комментарии/2 он читает задачу кого-то другого
Как я могу перехватить пользователя (манипулирование URI) и проверить общий способ, чтобы пользователь мог удалить эту задачу.
Задача и комментарий ничего не знают о пользователеId, так как может запретить пользователю удалять данные других людей?
Я не говорю о сценарии пользователя и ролей. Я говорю об управлении URI, чтобы удалить ресурсы, принадлежащие кому-то другому.
UPDATE ответить @A Khudairy`s вопрос
1) электронная почта + пароль отправляется апи.
2) Api возвращает пользователя с токеном пользователя.
3) Тогда при каждом запросе токен отправляется апи, (так что Iknow, которые пользователь делает то, что и справиться с этим в интерфейсе.)
Как вы реализуете авторизацию в своем приложении –
См. Мое обновление выше. – Elisabeth