Как разрешить / запретить доступ арендатора к API в мультитенантной системе на основе подписки на план

Question

Я разрабатываю мультитенантную систему, в которой отдельные арендаторы регистрируются в системе и выбирают план, который позволяет им получать доступ к модулям на основе этих планов.

В настоящее время Арендатор использует систему с веб-сайта. но REST API также доступны, поэтому арендатор может вызывать любой API.

Я хочу ограничить арендатора использованием таких модулей API, на которые они еще не подписались.

REST API разработаны в Spring boot, JAVA.

Может кто-нибудь иметьидея как реализовать это в бэкэнде.

Answer 1

На высоком уровне: 1. Отметьте Разрешенные планы подписки для отдельных конечных точек API REST через Аннотацию или config xmls. 2. Разрешите план подписки пользователя запроса на уровне фильтра авторизации. 3. Имейте общий контроллер доступа, который сопоставляет атрибуты пользователя запроса с атрибутами REST API и разрешает на основе совпадения