如何在 REST Api 中表示只读属性

Question

如果您有 REST API 即 hypermedia-driven (HATEOAS)，您可以通过在响应中包含或省略链接来轻松更改客户的行为 (_links)。这使客户端能够完全忘记测试在 resource 的当前状态下可能执行的操作的权限（操作的链接是否存在）。

此外，如果当前用户无权查看，您可以在响应中省略属性。

这样授权完全在服务器上完成（并控制有资格执行/查看的操作和属性）。

但是如果我想要一个 read-only 属性怎么办？ REST API 忽略请求中存在的属性是没有问题的（_POST_ 或 _PUT_）。它只是不会被保存。但是客户端如何区分 write 和 read-only 属性以向用户呈现适当的控件（例如 HTML 中的禁用输入字段）？

我们的目标是永远不要拥有client request 用户的权限，而是拥有完全由资源驱动的client/frontend。

非常感谢任何帮助:-)

Answer 1

如果我误解了您的问题，我先向您道歉。话虽这么说......

但是客户端如何区分写和只读 属性以向用户呈现适当的控件（如禁用的 HTML 中的输入字段）

嗯，有多种解决方案。我个人能想到的最简单的方法是让每个属性都成为一个具有以下简单结构的对象：

    ...

    someProperty: {
        value: 'some value',
        access: 'read-only'
    },
    someOtherProperty: {
        value: 'some value',
        access: 'write'
    }
    ...

显然，您可以通过如何表示属性的“访问”级别（使用枚举、布尔值、将 access 更改为 isReadOnly 或其他方式）获得尽可能多的创意。

在那之后，使用 API 的人现在知道它们是否是只读的。如果他们将“只读”属性的“写入”值作为 POST 负载的一部分提交，那么他们应该期望得到 403 响应。

编辑： 如果您无法以这种方式更改属性，您仍然可以通过多种其他方式实现此目的：

• 编写说明每个属性的访问权限的文档
• 创建一个用户可以提交 1 个或多个属性的路由，以便接收指示每个属性的访问级别的响应（响应：{ propName：'read-only'，propName2：'write'，等等。 )
• 返回一个 propertyAccess 映射作为响应的一部分（将属性映射到访问级别）。

最后，您只需要一种方法来映射具有访问级别的属性。但是，这取决于您对 api 的限制和要求、您可以进行哪些更改以及您的客户和业务要求都可以接受的内容。