Здесь и здесь являются хорошими примерами передовых методов работы с аутентификацией на основе токенов REST.
Но в моем случае меня беспокоит то, как один пользователь использует свой собственный токен для изменения данных другого пользователя. Проблема возникает, когда мы просто проверяем, есть ли у пользователя действительный токен и, если он положительный, выполняем любую операцию, запрошенную пользователем.
Конечно, самый простой способ победить это - проверить, совпадает ли авторизованный пользователь id с пользователем в JSON запроса (например, user_id). Но это утомительно (все конечные точки нуждаются в этой логике) и подвержено ошибкам (мы можем забыть сделать это для одной конечной точки).
Есть ли способы автоматизировать это?