Как ограничить доступ к REST?

Question

[Stopy]

Как в рест приложении ограничить доступ для PUT запроса к ресурсу, если я хочу чтобы изменять запись мог только ее автор. Где можно прописать собственные правила для доступа?

Answer 1

[Антон Натаров]

Сейвить id автора. в BeforAction проверять запрашиваемую запись и смотреть Id автора
Вероятнее всего, у вас авторы завязаны на User, вытащить текущий id usera можно так
Yii::$app->user->identity->id
Ну и дальше меняете, что там нужно.

Так делаю я, но мб подскажут, еще лучше вариант.

Comments

[Stopy]

и на этом спасибо

[Антон Натаров]

Stopy: перепутал только, не в BeforAction, а в PUT action. При бефор, он будет проверять на все экшены.

[Stopy]

Антон Натаров: но я ведь таким образом переопределю экшин?!

[Антон Натаров]

Stopy: по идее да, но я не знаю как еще можно ограничить именно по собственному Id. Если ограничить как то через RBAC Или ACF, то он не определяет конкретного автора. А ограничивает по группам или авторизации.

[Stopy]

Антон Натаров: окей, спасибо!)