Я хочу сделать неявную авторизацию (иначе говоря, основанную на ресурсах) в проекте API без необходимости выполнять проверки внутри методов контроллера. Тем не менее, после долгих исследований я не могу найти хороший способ его реализации.
Фильтры промежуточного программного обеспечения и авторизации выполняются до привязки модели, и мне нужен доступ к входным моделям для авторизации. .
Моя текущая идея состоит в том, чтобы реализовать систему, подобную политике, с фильтрами действий, однако это не идеально, поскольку другие части модели приложения не распознают фильтры как часть процесса авторизации. В качестве примера, сборщик swaggerdoc может и не догадываться, что определенный фильтр действий означает, что метод требует авторизации.
Я также играл с идеей вызова связывателя модели ранее в конвейере запросов, но ненашел способ сделать это. Разбор необработанных данных запроса слишком хрупкий.
Кто-нибудь знает лучший способ справиться с этим, чем мой нынешний кандидат (Фильтры действий)?