Допустим, у меня есть конечная точка POST /images, которая принимает файл изображения (через multipart/form-data) и сохраняет свои метаданные как объект Image в базе данных.Конечная точка доступна только для пользователей, которые имеют разрешение на нее.Теперь мне интересно одно:
Должен ли я:
- авторизовать пользователя, если он может создать
Image ресурс до локального сохранения файла - авторизует пользователя, если он может создать
Image ресурс после локального сохранения файла
Логически подумав, я бы предпочел вариант 2 , так как я бы предпочел не позволять каждому пользователю загружать контент на мой сервер.
С другой стороны, существует мало часто используемых решений (например, multer ), которые рекомендуют сначала сохранять файлы перед дальнейшей обработкой.Я не понимаю такой подход, так как это позволяет потенциально злонамеренному пользователю спамить при загрузке, или он может просто вызвать много мусорных файлов (если авторизация не удалась после сохранения файла).
Я бы с удовольствиемуслышать какие-либо мысли на эту тему.