REST: получить запрос только изменяемые объекты

Question

У меня есть куча API, которые возвращают несколько типов данных. Все пользователи могут запрашивать все данные, используя API GET rest.

Несколько пользователей также могут изменять данные. Что является общим подходом при разработке REST API, чтобы запрашивать только данные, которые могут быть изменены текущим пользователем, но все же позволяют API возвращать все данные (для режима отображения).

Чтобы объяснить это далее:

Программное обеспечение управляет проектами. Все проекты доступны для всех пользователей (также анонимных) через API (назовем это GET API / projects). Пользователь имеет возможность видеть список всех проектов, в которых он участвует, и которые он может редактировать. API должен возвращать точно такие же данные, но ограничивается проектами, в которые он вовлечен.

Должен ли я создать дополнительный параметр, или передать HTTP-заголовок, или что еще?

Answer 1

Единого универсального ответа на этот вопрос не существует, поэтому я дам вам одну рекомендацию, которая подходит для некоторых людей.

Мне не очень нравится создавать ресурсы с «сложным контролем доступа».,Вместо этого я бы предпочел создавать отдельные ресурсы для разных уровней доступа.

Если вы хотите вернуть предельные результаты для людей, имеющих частичный доступ, может быть лучше создать новые ресурсы, отражающие это.

Я думаю, что это также может помочь немного подумать об абстрактной роли человека, которому не разрешено делать все.Абстракция, вероятно, не существует для каждого свойства, но она существует где-то как бизнес-правило.