Supongamos que tengo un punto final REST /orders/{userId}, aquí userId es un marcador de posición dinámico que acepta la identificación del usuario. El punto final también está protegido y requiere que se pase un token de autenticación para acceder a él. Entonces, ¿cuál es el enfoque preferido?
- eliminar la variable de ruta de ID de usuario y simplemente obtener la identificación de usuario del token?
- ¿No es necesario derivar la identificación de usuario del token y simplemente usar el valor de la variable de ruta?
- usar ambos, validarlos y hacer lo requerido (en cuanto al rendimiento, ¿es esto bueno)?
Sugiera el enfoque para manejar este escenario. El requisito es que los usuarios solo puedan acceder a sus propios recursos, mientras que el administrador puede acceder a todo.
Solución del problema
Si coloca la identificación en el token, primero debe averiguar el nombre de usuario actual y luego debe verificar si el usuario es administrador o no, pero si pasa la identificación del usuario como una variable de ruta, solo necesita verificar el rol de si este usuario es administrador o no. Por lo tanto, si tiene la identificación de usuario y es segura, solo debe usar el enfoque de variable de ruta en lugar de encontrar al usuario por token.
No hay comentarios:
Publicar un comentario