Хотя я понимаю роли и требования, когда речь заходит об аутентификации / авторизации пользователей для API, я все еще сталкиваюсь с определенным аспектом моего дизайна безопасности.
Мой API управляет планированием и управлением проектами для компании с несколькими офисами. Предположим, я выполнял авторизацию с использованием пользовательских ролей, у меня конфликт, когда я могу только, чтобы пользователь, который является этой ролью, и в нужном офисе использовал эту функцию API.
В настоящее время я написал очень ручной процесс аутентификации, который не выглядит обслуживаемым. Я предполагаю, что одним из вариантов является использование поддоменов, таких как office.mysite.com, но это не решает всех моих проблем.
Другим примером является планирование. Роли A может быть разрешено создавать запланированное назначение для роли B, но не для роли C. И управление этим аспектом также очень сложно.
Существуют ли проверенные концепции дизайна для подобных ситуаций? Есть мысли вообще?
Спасибо!