Допустим, у меня есть API, который ограничивает определенные ресурсы / операции, если пользователь не разрешен его менеджером. Пользователь использует API через клиентское приложение и токен доступа.
Сначала я подумал, что заявки должны храниться в токене доступа, но если менеджер изменит разрешения этого пользователя, AT все равно будет то же самое.
Что мне делать в этом случае?
Я вижу некоторые варианты здесь:
- Запрос базы данных при каждом запросе для проверки заявок (это масштабируемое ?)
- Установить токен как недействительный и получить новый с RT
- Может быть, я чего-то не вижу?
Кроме того, если я использую сеанс вместо AT (в закрытой среде), как применить этот же критерий
Спасибо