Как правильно предоставлять доступы и проверять при редактировании?
Привет.
У меня есть сайт типа маркетплейс. Каждый пользователь может создать себе магазин. Тот кто создал магазин является владельцем. Владелец может предоставить доступ другим пользователям, они становятся помощниками.
У каждого магазина есть товары. Информацию об этих товарах можно редактировать.
При создании товара есть несколько фотографий, фотки я сохраняю в отдельной таблице, к каждой записи фотографии я сохраняю ее id. При редактировании фото можно удалить, при нажатии на кнопку удалить я отправлю id этой фотки через ajax. Вместо этого id можно отправить любой другой id, даже чужого товара(просто отредактировав значение через F12). Как проверить что владелец этого магазина и помощники имеют доступы для этого?
Если сохранять id автора у каждого фотки, то получается только он может. А как проверить сразу несколько пользователей? И владелец и помощников
при чем здесь автор фотки если речь идет о редактировании товара?
фотка принадлежит товару, товар принадлежит владельцу.
какая проблема по фотке определить товар, а по товару - магазин, а по магазину - владельца/владельцев?
