Есть две роли
-Админ
-Менеджер, подчиняется админу
К странице Админа имеет доступ только админ.
К странице Менеджера доступ имеют Админ и Менеджер.
Если менеджер запрашивает данные по api, то я смотрю по token и возвращаю, а как быть если админ запрашивает данные на странице менеджера?
Как организовать на стороне сервера?
API ничего не должно знать про ваши мифические роли в системе. Роль это просто способ сгруппировать пермишены в системе р привязать из к пользователю. Токен должен содержать информацию именно о них, а не о ролях. Все. Загадка решена
Иван Шумов, Менеджер заходит на страницу и по api отправляется token и ещё что-то. По токену узнаем id менеджера и по id отправляю ответ.
Для админа также.
Теперь нужно сделать так, чтобы админ зашёл на страницу менеджера не авторизовавшись от имени менеджера, и получил его данные из api, как будто это менеджер.
pakhrudin, api плевать. api ничего не знает про страницы и что кто делал. Есть токен, есть права. Есть разрешение - есть данные. Нет разрешений - нет данных. Создать два разных вида пермишенов и все. Есть такая концепция как RBAC
Иван Шумов, Ещё один вопрос. Менеджер заходит на свою страницу и Админ тоже заходит на его страницу. Оба используют одни и те же api или они должны быть разными?
