Я знаю, что это довольно широкий вопрос, но я хотел бы услышать, каково текущее мнение пользователей этой платформы по этому поводу. Я создаю API Rails 6, который должен предоставлять данные нескольким клиентам, веб-спа и собственному клиенту iOS, скажем.
Я использую auth0 для идентификации, аутентификации и Уровень авторизации между API и всеми клиентами. Это прекрасно работает, и я использую концепцию пользовательских ролей и разрешений auth0 для авторизации доступа к указанным c конечным точкам API.
Мне интересно, какова лучшая архитектура и парадигма для управления разрешениями на стороне API , Я в основном пытаюсь следовать архитектуре RESTful, однако, скажем, для конечной точки индекса данного ресурса, определенная группа пользователей может получать данные определенной области, которые им соответствуют, но суперпользователь должен иметь возможность получить все данные между пользователями. Должно ли это управляться через разные конечные точки? Или это должно управляться через параметры запроса? Является ли хорошей практикой авторизация разных разрешений для разных параметров запроса в рамках одного и того же действия контроллера или это может привести к путанице? Кто-нибудь знает о лучших практиках управления различными уровнями доступа при взаимодействии с базой данных во время одного и того же запроса к серверу?
Любой совет приветствуется!