Правильное моделирование ресурсов RESTful для запрещенного доступа

Question

У меня есть несколько маршрутов:

/projects
/projects/{id}
/countries?project={id}
/categories?project={id}

И у меня есть сомнения, что это сделано правильно, и я хочу получить второе мнение по этому поводу.

• project параметр является обязательным.
• Пользователям предоставляется доступ к ресурсам /countries и /categories на основе project
• Если кто-то не имеет к нему доступа, он теперь получает403

Это выглядит глупо, потому что я понимаю, что в мире RESTful пользователю предоставляется доступ на основе ресурса, а не параметра запроса.

Было бы более целесообразно смоделировать это в следующемкстати?

/projects
/projects/{id}
/projects/{id}/countries
/projects/{id}/categories

Answer 1

Из ваших комментариев, учитывая, что для ресурсов страна и категория требуется ресурс проект , имеет смысл перейти ко второму подходу, вложиввсе, что принадлежит проекту под /projects/{id}:

/projects
/projects/{id}
/projects/{id}/countries
/projects/{id}/categories