我正在寻找一种干净的方法来处理您拥有代表集合的资源的情况,但经过身份验证的用户可能仅有权访问集合中资源的某些子集。
例如一个博客 API:
GET /post- 列出帖子
GET /post/1- 获取特定的帖子
帖子可以是公开的或私人的。因此,如果我有私人访问权限,/post api 可以返回所有帖子,但如果我只有公共访问权限,它将仅限于返回公共帖子。
这通常是如何处理的?有缓存后果吗?在这种情况下,维护 GET 的语义是否存在问题?
注意:身份验证是通过在请求标头中发送的令牌处理的,不确定是否也起作用。
编辑:澄清我对如何在 RESTful 系统中正确建模感兴趣,而不是如何处理实际授权。