Как организовать API для разных ролей?

Question

[chincharovpc]

Есть две роли
-Админ
-Менеджер, подчиняется админу

К странице Админа имеет доступ только админ.
К странице Менеджера доступ имеют Админ и Менеджер.

Если менеджер запрашивает данные по api, то я смотрю по token и возвращаю, а как быть если админ запрашивает данные на странице менеджера?
Как организовать на стороне сервера?

Comments

[JhaoDa]

Есть три роли
-Админ
-Менеджер

Хм...

[chincharovpc]

JhaoDa, я подумал что пользователь не нужен и убрал. Простите

Answer 1

[Иван Шумов]

API ничего не должно знать про ваши мифические роли в системе. Роль это просто способ сгруппировать пермишены в системе р привязать из к пользователю. Токен должен содержать информацию именно о них, а не о ролях. Все. Загадка решена

Comments

[chincharovpc]

А как посмотреть кто зашёл на страницу и какую информацию он получит?

[Иван Шумов]

pakhrudin, уточни

[chincharovpc]

Иван Шумов, Менеджер заходит на страницу и по api отправляется token и ещё что-то. По токену узнаем id менеджера и по id отправляю ответ.

Для админа также.

Теперь нужно сделать так, чтобы админ зашёл на страницу менеджера не авторизовавшись от имени менеджера, и получил его данные из api, как будто это менеджер.

[Иван Шумов]

pakhrudin, api плевать. api ничего не знает про страницы и что кто делал. Есть токен, есть права. Есть разрешение - есть данные. Нет разрешений - нет данных. Создать два разных вида пермишенов и все. Есть такая концепция как RBAC

[chincharovpc]

Иван Шумов, Ещё один вопрос. Менеджер заходит на свою страницу и Админ тоже заходит на его страницу. Оба используют одни и те же api или они должны быть разными?

[Иван Шумов]

pakhrudin, как правило это одно api. Делят api по логическим сущностям или сервисам, но точно не по ролям пользователей