0
我有一个使用JWT为验证2种类型的客户提供REST API: - 通过一个Web应用程序 用户 - 服务授权:用户权限VS服务的权利
每个客户都有自己的权利(例如,一个可以访问资源1但不是使用API的资源2)。
现在,一个服务可以拥有一个UI,我所面临的问题是,我真的不知道哪些权利应该当一个请求是由服务通过服务UI用户操作发送的API考虑:服务权利?用户权限?两者的交集?例如,假设API通过'GET/products`提供产品列表,那么该列表可能受到客户权限的限制: - 用户U可以列出product1,product2。 - 服务S可以列出产品2,产品3。 服务S的用户界面中应列出哪些产品?
谢谢你的帮助,实际上我正在考虑的情况下,当用户可以访问该服务,但他们有不同的访问资源。我添加了一个例子来让它更加清晰! – jroy