如何处理客户端 Rest 中的每个动词权限?
How to deal with per verb permission in Rest on a client?
假设我们在 URL 上有一个资源,如下所示:foo.com/api/bar
假设用户可能被允许获取该资源,但不允许 POST 该资源。
我可以通过为每个动词指定不同的权限来轻松解决这个问题。
但是客户端应该如何事先知道是否允许执行 POST?
假设我们在页面上有一个 "save" 按钮,如果用户没有执行 POST 的权限,则不应启用该按钮。
我知道 HATEOAS/Hypermedia 约束,我可以将不同操作的链接列表与资源一起传递。
但是 AFAIK,它不包含有关使用什么动词的信息,只有 URL 用于不同的动作。
是否还有包含该动词的其他变体?
如果您不想让各种元数据弄乱资源,还有其他方法吗?
这个问题在 HAL 讨论论坛上被问了很多 https://groups.google.com/forum/#!forum/hal-discuss
动词未 returned 的事实是由您使用的超媒体格式决定的,我猜是 HAL(或者 collection+json).有些格式确实包含动词信息。
如果您愿意,HAL 实际上允许您在 link objects 中包含自定义字段,但我不鼓励这样做,因为任何标准客户端都不知道如何解释它。
但我也发现这个动词最终毫无价值。
首先在人类 2 机器上,用户将阅读文档。 HAL 将所有 link 取消引用(通过 CURIE,因为它们目前是 naemd)到人类可读的文档,这些文档应该描述请求 link 具有不同参数、动词、headers 的效果等等
下一步是为了使您的应用程序真正 RESTful 您应该对所有动词做出回应...您可能只是不回应动词是好的。对于基于 HTTP 的应用程序 returning 405 是非常合适的。返回 404 不是! 500 会更糟!您的 405 应该包括所请求资源可用的方法。
接下来在机器 2 机器(和一些 h2m)的情况下,当您的应用程序通过 HTTP 访问时(我尽量避免在我的回答中使用 http,因为 RESTful 应用程序不一定是 HTTP..虽然我会说其中 101% 是)应该对资源 URL 使用 OPTIONS 方法 (http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html) 以获得可能的描述。
这是我看到很多人被绊倒的地方,OPTIONS 的响应应该是什么?人们忘记的是内容类型协商!请求者应该说出他们期望的选项信息的格式。接受:some-machine-language/xml 或 application/language+json。一些 RFC 或标准定义了这些内容类型,您的 API 可以识别它支持的格式。我建议您包括对 text/html 的支持,这样您就可以 return 人类可读的文档以及关于支持哪些动词的文档。这很好地涵盖了 h2m 场景。
当return获取有关不受支持的方法的信息时,相同的内容类型协商会很有用。服务器可以发送客户端可以理解的content-type,从语义上描述允许使用哪些方法。
我想指出的最后一件事是,方法暗示了客户的意图。我想放置此资源或删除该资源。服务器应该接受请求并且 return 响应指示由于该请求而发生的状态转换。因此,让 API 在每个请求中识别客户端的可能意图有点愚蠢。客户端知道它想做什么,它应该尝试,如果它不能那么它应该处理那个。
HTTP 动词是纯传输协议动词。这些可能不是执行应用程序功能的正确动词,正是因为您在问题中提到的问题。所以让我们看看我们是否可以在不使用 http 动词的情况下以不同的方式处理这个问题。使用 http 动词来执行应用程序操作可能会限制我们明天,因为我们可能需要从 http 转移到另一个协议。
我们举个例子来说明。假设我们正在谈论使用 HATEOAS 更新删除应用程序。所以在这种情况下,如果有两个产品,分别用URL、www.abc.com/product/001和www.abc.com/product/002表示。在真正的 HATEOAS 情况下,如果必须查看两个产品 product/001 和 product/002 的响应,则显示客户端屏幕。
所以如果对 product/001 的响应是 product/001/delete,product/001/change 而 product/002 的响应是 product/002/Change 然后客户端将仅显示删除 product/001 并更改其他两个产品。
所以回答你的问题。通过适当地识别产品的操作,现在可以执行基于角色的操作。
希望我已经回答了你的问题。
假设我们在 URL 上有一个资源,如下所示:foo.com/api/bar
假设用户可能被允许获取该资源,但不允许 POST 该资源。
我可以通过为每个动词指定不同的权限来轻松解决这个问题。 但是客户端应该如何事先知道是否允许执行 POST?
假设我们在页面上有一个 "save" 按钮,如果用户没有执行 POST 的权限,则不应启用该按钮。
我知道 HATEOAS/Hypermedia 约束,我可以将不同操作的链接列表与资源一起传递。 但是 AFAIK,它不包含有关使用什么动词的信息,只有 URL 用于不同的动作。 是否还有包含该动词的其他变体?
如果您不想让各种元数据弄乱资源,还有其他方法吗?
这个问题在 HAL 讨论论坛上被问了很多 https://groups.google.com/forum/#!forum/hal-discuss
动词未 returned 的事实是由您使用的超媒体格式决定的,我猜是 HAL(或者 collection+json).有些格式确实包含动词信息。
如果您愿意,HAL 实际上允许您在 link objects 中包含自定义字段,但我不鼓励这样做,因为任何标准客户端都不知道如何解释它。
但我也发现这个动词最终毫无价值。
首先在人类 2 机器上,用户将阅读文档。 HAL 将所有 link 取消引用(通过 CURIE,因为它们目前是 naemd)到人类可读的文档,这些文档应该描述请求 link 具有不同参数、动词、headers 的效果等等
下一步是为了使您的应用程序真正 RESTful 您应该对所有动词做出回应...您可能只是不回应动词是好的。对于基于 HTTP 的应用程序 returning 405 是非常合适的。返回 404 不是! 500 会更糟!您的 405 应该包括所请求资源可用的方法。
接下来在机器 2 机器(和一些 h2m)的情况下,当您的应用程序通过 HTTP 访问时(我尽量避免在我的回答中使用 http,因为 RESTful 应用程序不一定是 HTTP..虽然我会说其中 101% 是)应该对资源 URL 使用 OPTIONS 方法 (http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html) 以获得可能的描述。
这是我看到很多人被绊倒的地方,OPTIONS 的响应应该是什么?人们忘记的是内容类型协商!请求者应该说出他们期望的选项信息的格式。接受:some-machine-language/xml 或 application/language+json。一些 RFC 或标准定义了这些内容类型,您的 API 可以识别它支持的格式。我建议您包括对 text/html 的支持,这样您就可以 return 人类可读的文档以及关于支持哪些动词的文档。这很好地涵盖了 h2m 场景。
当return获取有关不受支持的方法的信息时,相同的内容类型协商会很有用。服务器可以发送客户端可以理解的content-type,从语义上描述允许使用哪些方法。
我想指出的最后一件事是,方法暗示了客户的意图。我想放置此资源或删除该资源。服务器应该接受请求并且 return 响应指示由于该请求而发生的状态转换。因此,让 API 在每个请求中识别客户端的可能意图有点愚蠢。客户端知道它想做什么,它应该尝试,如果它不能那么它应该处理那个。
HTTP 动词是纯传输协议动词。这些可能不是执行应用程序功能的正确动词,正是因为您在问题中提到的问题。所以让我们看看我们是否可以在不使用 http 动词的情况下以不同的方式处理这个问题。使用 http 动词来执行应用程序操作可能会限制我们明天,因为我们可能需要从 http 转移到另一个协议。
我们举个例子来说明。假设我们正在谈论使用 HATEOAS 更新删除应用程序。所以在这种情况下,如果有两个产品,分别用URL、www.abc.com/product/001和www.abc.com/product/002表示。在真正的 HATEOAS 情况下,如果必须查看两个产品 product/001 和 product/002 的响应,则显示客户端屏幕。
所以如果对 product/001 的响应是 product/001/delete,product/001/change 而 product/002 的响应是 product/002/Change 然后客户端将仅显示删除 product/001 并更改其他两个产品。
所以回答你的问题。通过适当地识别产品的操作,现在可以执行基于角色的操作。
希望我已经回答了你的问题。