在你真正开始思考解决方案之前,让我解释一下我现在面临的情况。
我们正在创建一种员工管理门户,组织可以在其中购买许可证并开始使用它。 因此,作为一项功能,组织的管理员可以创建任意数量的角色,包括对模块的 CRUD 权限。用更简单的语言来说,假设你有从 1 到 10 的模块,那么管理员可以创建 say role1 并可以选择 1 到 10 中的任何模块,每个模块都有单独的 CRUD 权限与之链接。
所以这里的问题是,如何在 API 上添加基于角色的访问控制。
另请注意,在 2 个或更多不同的模块中也有一些共享的 api。
作为输出,用户应该只能通过授权模块访问 api。并且只能根据分配的权限执行一组操作,如读取、写入、删除、更新。