Rest API角色限制为角色

我正在设计一些REST API，并且只是想知道如何限制前端用户访问某些资源字段。Rest API角色限制为角色

让说，这是我们的用户资源：

{ 
    "username" : "user", 
    "email" : "[email protected]", 
    "created_at" : "2011-06-13T21:56:36" 
}

很明显，电子邮件不应该被公开并重新回到了大众的观众。但是，在管理部分，我希望收到此字段。

这种问题有什么策略吗？

我的想法：

您可以在数据库中创建一个新的“角色”行，并在服务器端处理它们，API可以在JSON中提供角色，但服务器必须验证用户是否具有合适的角色 –

在REST API中创建适当的身份验证机制（i）不是微不足道的，并且（ii）已经以许多种语言完成。除非出于学习的目的，否则我会建议不要重写。

根据您选择的后端语言，您可以选择一个框架来做到这一点。例如，在Python中，我会使用Django Rest Framework来建议Django。

2017-07-05 13:56:52 Pixou

回答