初步方案:技术中台管理接口和 对外提供的接口,统一起来。
1、操作一条数据,必须带上appId。
2、查询,必须带上appId or 不带 appId
现在的接口分2大类,技术中台管理端。(既然存在这样有所有app权限的特殊项目,今后也可能存在第2个这样的项目,比如技术中台管理端的app端)
权限控制思路
1、token校验
该token是否存在,是否过期
2、token对应的app权限
token的app权限,和传入的appId是否一致。
扫描二维码关注公众号,回复:
9110628 查看本文章
不能操作其它app的数据
3、该app是否有该接口调用权限
根据token,拿到对应登录时的appId,判断是否 有该 接口的调用权限
4、如果没有传入appId
如果没有appId,该用户 是否为 “超级用户”,比如 技术中台 管理端 项目。
目前,为简化代码实现,专注业务功能实现,做好接口设计,但不实现权限拦截。
天鸟技术/FansUnion/雷哥
2019年11月16日
北京
