restful api设计中,/api/user/{id}, 根据id请求用户信息,如何根据不同的用户角色返回不同的信息?
场景:
有这样一个api接口 /api/user/{id}
根据id获取用户信息,当角色是管理员用户时,不做限制,更改id任何请求都可以返回相应id的用户信息。当时普通用户获取信息时,只返回当前用户id的信息,更改id之后,提示无权限。
请问该怎样设计才能满足权限要求?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(3)
如果是jwt做鉴权的,可以在jwt里存一个字段,表示是否是管理员,在后端中间件解析出来,对比一下有没有权限。这样的好处是不需要每次都比较id是否有权限
将你的登录信息保存到cookie/session里面,访问api的时候比对id就行了
可以做一个token层去验证用户是否有访问权限,做一个数据权限层判断用户是否有操作权限