Я хочу понять, как реализовать безопасность на основе ролей / разрешений пользователей, а не просто контролировать доступ к моему REST API, а скорее то, что пользователь приложения-потребителя может делать с API.
Например, ищите примеры, чтобы следовать с WebApi
a) Разрешить доступ к GET, но не к POST, то есть вы можете посмотреть на объект (ы) по URI, но вы не можете создать объект по URI
б) Разрешить ПАТЧИРОВАТЬ некоторые свойства объекта по URI, но не другие
c) Когда вы получаете объект (ы) по URI, некоторые поля не возвращаются
d) Когда вы получаете объект (ы) по URI, объекты с определенным значением поля не возвращаются.
Надеюсь, я дал достаточную картину того, что я собираюсь сделать. Я пытаюсь найти примеры в Google, но, должно быть, я использую все неправильные ключевые слова, поэтому не могу найти то, что ищу.
Заранее спасибо за любые указатели.