我正在尋找一種乾淨的方式來處理您有一個資源表示集合的情況,但驗證用戶可能只有權限訪問某些子集集合中的資源。處理GET請求的集合,其中用戶只授權一些子資源
例如一個博客API:
GET /post
- 本帖子
GET /post/1
- 獲取特定崗位
帖子可以是公共或私有的。因此,如果我有私人訪問權限,/ post api可能會返回所有帖子,但是如果我只有公共訪問權限,它將僅限於僅返回公開帖子。
這通常如何處理?有緩存後果嗎?在這種情況下,維護GET的語義是否存在問題?
注意:身份驗證是通過在請求標頭中發送的令牌來處理的,不知道是否也在其中播放。
編輯:爲了說明我對如何在RESTful系統中正確建模,而不是如何處理實際授權感興趣。
是的,如果相同的URL可能會爲不同的用戶返回不同的值,那麼存在緩存後果。 – Ben 2012-07-11 13:36:54