Tôi có một câu hỏi về apis yên tĩnh và an ninh trong một môi trường đa người thuê ::còn lại api đa thuê bao an ninh
Hãy tưởng tượng bạn có một thiết bị đầu cuối: api/chi nhánh /: branchId/tài khoản /: AccountID
Xác thực được thực hiện thông qua Mã thông báo vòng đệm (oauth2). Mỗi mã thông báo bao gồm một tập hợp các xác nhận quyền sở hữu liên quan đến người dùng đang gọi. Khiếu nại branchId được bao gồm trong mã thông báo và mỗi người dùng thuộc về một chi nhánh.
Các hạn chế bảo mật như sau:
- Các branchId của yêu cầu GET phải phù hợp với một lưu trữ trên các tuyên bố token.
- accountId phải là tài khoản hợp lệ bên trong chi nhánh được xác định bởi branchId.
Câu hỏi đặt ra là: giải pháp nào sau đây là chính xác?
- Duy trì điểm cuối: api/branches /: branchId/accounts /: accountId. Và thực hiện các kiểm tra bảo mật bắt buộc.
- Thay đổi điểm cuối thành: api/accounts /: accountId, lấy branchId từ mã thông báo và sau đó thực hiện kiểm tra bảo mật còn lại.
Ứng dụng này có nghĩa là trở thành người thuê nhiều người. Mỗi nhánh là một đối tượng thuê, và mỗi người dùng chỉ có thể truy cập thông tin liên kết với nhánh đơn của nó. Cảm ơn!
+1, câu hỏi tuyệt vời! tò mò muốn biết câu trả lời cũng như –
@DevarshDesai Tôi cần phải hành động về điều này, vì vậy dưới đây tôi đã nhận xét về quá trình hành động của tôi. Xin vui lòng cho tôi biết những gì bạn nghĩ. – Joe