0

假设我有一个适用于患者和医生的应用程序。

患者应该能够在 `site.com/api/patients/ 访问他们的信息。

医生也应该能够访问有关患者的信息,但会收到与患者不同的信息。

我可以想象两种处理方式:

api/patients具有在不同权限之间进行拆分的逻辑

或者

api/patients为患者和 api/doctors/patients医生获取有关患者的信息

这看起来相对不错,但后来我开始思考当医生和患者都可以为患者添加任务时会发生什么。

api/patients/tasks/让患者添加一项任务,但 api/doctors/patients/tasks就嵌套而言,这会变得非常糟糕(我认为限制路线的深度可能会更好)

拥有api/patients并检查用户是医生还是患者还是嵌套资源更好?最佳实践的共识是什么(如果有的话)?

拥有如下 API 端点会很好:

api/tasks/ api/patients api/doctors/

这使事情变得简单,然后使用令牌或查询字符串控制权限/身份验证。

4

1 回答 1

1

绝对不要做api/医生/病人等。

这应该是两种不同的 API,一种用于医生,一种用于患者吗?这取决于有多少功能重叠。

无论如何,您应该已经在跟踪用户的身份验证/授权信息。否则你会让医生修改不去看他们的病人。使用身份验证信息来确定调用者支持哪些值/选项。

我假设您正在处理我复制 Bob 博士的令牌/查询字符串并发送我自己的请求的情况?

于 2013-07-24T02:01:41.710 回答