6

我正在使用 Flask-RESTful 开发 API,我的应用程序具有三个角色。

  1. 站点管理员
  2. 部门管理员
  3. 基本的

对于任何给定的资源,返回的 JSON 对象具有基于每个角色的不同键集。

例如,如果您将 /orders 设为“site_admin”,结果可能如下所示:

{
  "orders": [
    {"id": 1, "user": "foo", "paid": True,  "department": "A", "code": 456},
    {"id": 2, "user": "bar", "paid": False, "department": "A", "code": 567},
    {"id": 3, "user": "meh", "paid": False, "department": "B", "code": 678}
  ]
}

但是,如果您将 /orders 设置为“department_admin”,结果可能如下所示:

{
  "orders": [
    {"id": 3, "user": "meh", "paid": False}
  ]
}

如果您将 /orders 设置为“基本”,它将是一个非常小的 JSON 响应,如下所示:

{
  "orders": [
    {"id": 2, "paid": True}
  ]
}

实现这一点的 RESTful 方式是什么?

我可以想出三种方法来做到这一点。

(1) 使用请求参数并对其进行过滤:

class Orders(restful.Resource):
  def get(self):
    if request.args['role'] == 'site_admin':
      return admin_JSON_response()
    elif request.args['role'] == 'department_admin':
      return dept_admin_JSON_response()
    else:
      return basic_JSON_response()

api.add_resource(Orders, '/orders')

(2) 对会话对象进行过滤:

class Orders(restful.Resource):
  def get(self):
    if session['role'] == 'site_admin':
      return admin_JSON_response()
    elif session['role'] == 'department_admin':
      return dept_admin_JSON_response()
    else:
      return basic_JSON_response()

api.add_resource(Orders, '/orders')

(3) 每个角色有不同的路线:

class OrdersSiteAdmin(restful.Resource):
  def get(self):
    return admin_JSON_response()
api.add_resource(OrdersSiteAdmin, '/orders_site_admin')

class OrdersDeptAdmin(restful.Resource):
  def get(self):
    return dept_admin_JSON_response()
api.add_resource(OrdersDeptAdmin, '/orders_dept_admin')

class OrdersBasic(restful.Resource):
  def get(self):
      return basic_JSON_response()
api.add_resource(OrdersBasic, '/orders_basic')

...是否就哪种方式是 RESTfully 的首选方式达成共识?

非常感谢!

4

1 回答 1

4

您的选项 #2 违反了“无状态”约束,在 REST API 中使用用户会话不是一个好主意,相反,您应该要求您的客户端为每个请求提供身份验证。

假设您修复了#2,并且您现在有一个current_user变量,而不是用户会话,该变量在身份验证期间填充。然后您可以按如下方式重写该示例:

class Orders(restful.Resource):
  def get(self):
    if current_user.role == 'site_admin':
      return admin_JSON_response()
    elif current_user.role == 'department_admin':
      return dept_admin_JSON_response()
    else:
      return basic_JSON_response()

api.add_resource(Orders, '/orders')

让我们一一看看你的三个选项:

  • (1) 指定查询字符串中的角色,这将使任何用户能够请求任何表示,只需传递所需的角色。但是为什么要把角色放在查询字符串中呢?我假设您将对您的用户进行身份验证,因此了解您的用户您也知道该角色。这似乎没有必要,并且会给您额外的验证工作。

  • (3) 为每个角色创建不同的资源。再一次,您必须确保“基本”用户无权访问适用于更高角色的两个 URL,因此您还需要在此处进行一些验证工作。

  • (2) 假设用户数据库存储每个用户的角色,因此一旦用户通过身份验证,就会根据分配的角色返回他/她的角色的正确表示。我认为这是最好的选择,因为用户真的没有办法侵入他们不允许看到的数据。

说到 RESTful,我也会看看你的表示,这是可以改进的。考虑实现与其他资源的链接而不是提供 ID,以符合HATEOAS约束。

于 2014-12-02T22:04:13.600 回答