客戶端（和服務？）的REST接口

Question

在N層體系結構中，REST接口暴露了一些資源。客戶需要使用基於TLS的基本身份驗證進行身份驗證。業務邏輯確保數據有效並被系統接受。應用過濾器以確保租戶只能查看和更改其數據。 如果一個服務需要處理同樣的數據，那會是更好的
1）有它使用相同的REST接口，但應用服務級過濾器，並使用技術帳戶進行驗證
或將是最好
2）是否有服務帳戶直接使用業務（域）層？`

對於使用其他方法，您有什麼看法或邏輯？

Answer 1

默認情況下，我允許業務層直接訪問，因爲這看起來是最簡單的選項。只有在存在特定原因的情況下，我才堅持所有請求都通過REST層的身份驗證。

與大多數情況一樣，這取決於您的業務案例。

您是否需要向REST客戶端和業務層公開完全相同的服務？還是有微妙的差異？

您是否需要知道對服務層的請求是源自REST客戶端還是業務層？

您是否希望REST層成爲安全性，日誌記錄等的單點入口？