Допустим, у меня есть конечная точка, которая возвращает объекты по запрошенным идентификаторам. Допустим, у пользователя есть права доступа только к подмножеству этих объектов. Какова лучшая практика для ответа в этом случае? Я вижу только несколько решений, но все они имеют свои преимущества и недостатки.
- Бросок 403 - отказано в разрешении со списком поощряющего клиента с отклоненным идентификатором отфильтровывать «плохие» идентификаторы.
- Return только разрешенные объекты (опционально запись в журнал запрещенных идентификаторов)
- Ответ возврата, содержащий поля
data и errors
И будет ли ответ отличаться для REST и GraphQl?