我们有一种情况,我们有两种不同的用户角色:我们称他们content_labourer为content_boss. 有一个我们可以调用的模板very_cool_content。在此模板中,我们声明了以下属性:
title: 一些字符串值api_content_id: 一个整数,可以准确地将这个内容绑定到一些后端 API 内容(显然,我们在 VeryCoolContentController 中使用它来启动一些后端 API 内容)description: 一个文本值
我希望我content_boss能够为所有这些属性设置值。毕竟,他是老板。
但是,我content_labourer并不了解整个 API 业务,并且在一百万年后永远不会知道他应该在那里输入哪个值,更不用说他甚至应该能够输入/更改api_content_id. 他也不应该能够设置 的值title,因为那不关他的事。
现在我的问题是:我如何保护这些特定属性不被没有角色的用户更改(或者在理想情况下:甚至对用户可见)content_boss?