Как правильно организовать доступ к ресурсам пользователя?

Question

[Mybiz]

Привожу пример:
Например, есть некая таблица БД article c такими полями:
article_id
user_id
title
content

Есть некое АПИ

/api/article/1
/api/article/2
/api/article/3

Например,
GET /api/article/2
POST /api/article/update/3 title=newtitle&content=newcontent

получается мы должны ко всем запросам клеить user_id

SELECT * FROM article where article_id = 2 AND user_id = 111
UPDATE article SET ..... WHERE article_id = 3 AND user_id = 111

Но это делать код избыточным, возможно есть какой-то алгортм который позволит определять есть ли права у текущего юзера на выполнение подобно sql

Answer 1

[Kir]

Авторизацию накрутить и по правилам доступа смотреть.

Answer 2

[Glueon]

Можно написать функцию CanI, которая будет вызываться перед выполнением запроса. Она будет проверять каким-то образом есть ли у пользователя право проводить данную операцию и если нет - бросать какой-нибудь AccessViaolationException. Тогда в самом SQL-е это предусматривать не надо будет.

Answer 3

[xmoonlight]

вначале делаем проверку на доступ:

SELECT COUNT(*) FROM article where article_id = 2 AND user_id = 111 limit 1

Если не 0 - производим все нужные операции над данной публикацией уже без указания пользователя в запросах.

Answer 4

[Mybiz]

а если доставать перед каждым запросом некий набо записей. типа SELECT arcticle_id FROM article where user_id=111; SELECT post_id FROM posts WHERE user_id=111.

формировать массив $resourses = [ "arcticles" => [2,5,8], "posts"=>[20,19] ] ит д. как вам вариант?

очень интересует как реализовать максимально грамотно и такоэ реализовано в известных проектах