Через RBAC - это вместо проверки на сценарий в условии использовать \Yii::$app->user->can('viewPostList')? Да, все же это немного не то, я сейчас интересуюсь именно тем, как разным ресурсам отдавать разный набор полей.
В той задаче, которую решаю сейчас, это для удобства и чтобы уменьшить сетевой трафик, исключив неиспользуемые поля. Чувствительные данные таким образом я не пытаюсь обезопасить.
Я хочу понять, как сделать правильно. И в каких случаях как поступать. Возможно, просто не нужно использовать fields(), а самому каждый раз готовить отдаваемый набор полей для каждого REST-ресурса в контроллере или даже вынести в какой-нибудь DTO?
P. S. В данный момент решил свою задачу через url, а вернее в контроллере прописал:
В той задаче, которую решаю сейчас, это для удобства и чтобы уменьшить сетевой трафик, исключив неиспользуемые поля. Чувствительные данные таким образом я не пытаюсь обезопасить.
Я хочу понять, как сделать правильно. И в каких случаях как поступать. Возможно, просто не нужно использовать fields(), а самому каждый раз готовить отдаваемый набор полей для каждого REST-ресурса в контроллере или даже вынести в какой-нибудь DTO?
P. S. В данный момент решил свою задачу через url, а вернее в контроллере прописал: