Rest API角色限制爲角色

我正在設計一些REST API，並且只是想知道如何限制前端用戶訪問某些資源字段。Rest API角色限制爲角色

讓說，這是我們的用戶資源：

{ 
    "username" : "user", 
    "email" : "[email protected]", 
    "created_at" : "2011-06-13T21:56:36" 
}

很明顯，電子郵件不應該被公開並重新回到了大衆的觀衆。但是，在管理部分，我希望收到此字段。

這種問題有什麼策略嗎？

我的想法：

您可以在數據庫中創建一個新的「角色」行，並在服務器端處理它們，API可以在JSON中提供角色，但服務器必須驗證用戶是否具有合適的角色 –

在REST API中創建適當的身份驗證機制（i）不是微不足道的，並且（ii）已經以許多種語言完成。除非出於學習的目的，否則我會建議不要重寫。

根據您選擇的後端語言，您可以選擇一個框架來做到這一點。例如，在Python中，我會使用Django Rest Framework來建議Django。

2017-07-05 13:56:52 Pixou

回答