Как правильно организовать передачу прав для конкретной роли юзера с back-end на front-end?

Question

[Павел Т]

Добрый вечер!

Есть фронт на Vue и бэк на Go. Есть много ролей и у всех разная комбинация доступов. Есть идея просто получить по токену соответствующий список разрешенных эндпоинтов и методов и на каждую кнопку на фронте вешать проверку (показывать/не показывать). Но кажется это не круто.

Не подскажите как правильно?

Answer 1

[Алекс Глебов]

Передавать ссылки на действия в api. Нет ссылки - нет доступа, и кнопка на фронте не выводится.

_links: [
  create: 'api.ru/action-crate',
  read: 'api.ru/action-read',
  update: 'api.ru/action-update',
  delete: 'api.ru/action-delete'
]

Comments

[Павел Т]

Спасибо. Тоже думал в этом направлении.

Answer 2

[Игорь]

Как я бы поступил.

Ход моих мыслей.
...

В идеальном мире back end and frond and не должны знать о существовании друг друга, но речь не об этом.

Бизнес логика в back end, будет своя.
Бизнес логика на сайте, мобильном приложении так же будет своя.

Было бы не плохо иметь специальный метод, который возвращает эти самые привилегии списком.
А уже потом, в (мобильном приложении, сайте) на основе полученных данных скрывать те или иные разделы.

Опять же, если юзер используя UI, пытается получить те или иные данные по API, Он однозначно должен выступать с определенными разрешениями, которые запрограммированы в самом back end.

К чему я виду, даже если вы скроете кнопки визуально, злоумышленник или юзер без привилегий все ровно может получить доступ к данным.

Поэтому в первую очередь, разрешения, роли нужно программировать на уровне API

Comments

[Павел Т]

Конечно же на backend все, что надо закрыто. Вопрос где должна быть проверка не стоит, понятно что и там и там, вопрос в том как правильно сообщить на frontend что надо скрыть.

[Игорь]

Было бы не плохо иметь специальный метод, который возвращает эти самые привилегии списком.
А уже потом, в (мобильном приложении, сайте) на основе полученных данных скрывать те или иные разделы.

Я как раз об этом.

Дело в том, что этот список скорее всего будет динамическим.
А специальные метод всегда возвращает актуальные привилегии.

Другое дело, что такие "привилегии" легко скомпрометировать.

Эта тема актуальна и для меня.
По списку задач, следующая.