Как организовать права доступа к данным при использовании REST Api?
Есть родительская модель связанная с пользователем полем user.
Есть дочерняя модель в которой нет поля user, но она связана с родительской.
Мы авторизованы под user_1 и пытаемся получить дочернюю запись через GET /get_child/id_item_user_2
Как ограничить доступ к дочерней модели для user_1 от других дочерних данных user_2 ?
В этом конкретном случае можно обратится к родителю и посмотреть владельца записи, но модели могут быть связаны через одну или через две. Или user нужно определять и у родителя и у дочерней модели ?
Есть ли какая то лучшая практика или более практичный универсальный метод разграничения доступа.
Простой
