如果请求它的用户不能查看所有数据,那么在RESTful响应中排除某些字段/数据的最佳做法是什么?
例:
人有名字,姓氏和出生日期.
经过身份验证和未经身份验证的用户都可以向/people.xml发出RESTful请求以获取完整的人员列表.但是,只有经过身份验证的用户才能查看所有信息.未经身份验证的用户应仅返回名字和姓氏字段(不包括出生日期数据).
Person控制器是否应该在构建响应之前检查身份验证?如果用户通过身份验证,他们会获得所有内容,否则他们只获得一个子集 这会破坏REST的任何规则,其中/people.xml可以发送两个单独的结果吗?
不,那没关系.它是相同的资源,但基于身份验证信息具有不同的表示形式.您还可以根据Accept头包含的内容提供不同的版本(顺便说一下,您应该使用那个版本而不是文件扩展名,如.xml),或者您可以提供不同的语言版本,或者如果记录的话,您可以呈现不同的页面在用户中定义了特定的个性化选项.这都是合法的.考虑一个有登录框的网站.如果您已登录,则页面将有所不同.这是相同的,除了它不会特别影响所附信息本身.在这些情况下控制缓存等正是Cache-Control,Vary和朋友的目的.另见http://www.subbu.
京公网安备 11010802040832号 | 京ICP备19059560号-6 