在服务端我们要知道当前接待的用户是谁,决定是否要给这个用户提供服务的时候,可能还需要检查一下用户的权限,这个就是权限控制(Permission Control)或者叫访问控制(Access Control)。
有很多方法可以实现访问控制,比如基于角色的访问控制。就是你可以在应用时添加一些用户角色,然后给用户分配一些角色。不同的用户角色可以拥有一些权限,一个用户如果属于一个用户角色就拥有这个角色里的所有的权限 。
下面我们会在应用里实现一个检查资源拥有权的访问控制,用户在访问一个资源的时候我们可以检查这个用户是否拥有这个资源,就是检查一下这个被访问的内容资源是不是这个用户发布的。如果是,就允许访问,如果不是就不允许访问。比如在 更新内容 还有 删除内容 接口的上面就需要检查用户对内容资源的拥有权,限制一下用户只能修改或者删除他们自己发布的内容资源。