Comprendo le API Web. Capisco i siti web, come chiamano una web API e tutte le cose buone. La mia domanda è: come si controlla la vista utente nel sito Web che utilizza l'API, in base alle autorizzazioni dell'API. L'obiettivo sarebbe quello di non avere la vista nel sito Web se l'utente non è autorizzato a preformare tale azione. Non basta fare un trucco e nasconderlo in HTML (l'utente di Tech-savey può vedere il codice html per le azioni / i moduli dati che non dovrebbero).
Scenario semplificato: L'utente ha accesso all'API per creare altri utenti, ma non eliminare. Possono tecnicamente inviare il verbo delete all'URI, ma otterrebbero l'accesso negato. L'obiettivo sarebbe che il sito Web HTML non mostrasse l'opzione di eliminazione in primo luogo, in quanto non possono comunque preformare l'azione. Non c'è modo di sapere tramite il sito Web HTML / JS per vedere dove è / come funziona l'opzione delta (Ovviamente la vista di cancellazione mostra agli utenti con quel set di autorizzazioni)
Idea di: Avere supporto API che invia il codice HTML per le viste sul sito in base alle autorizzazioni. -Non è un grande fan di questo, perché penso che rompa l'idea dell'API. Cosa devo fare se devo fare qualcosa di simile su un'app mobile?
Utilizza il codice lato server come intermediario per chiamare l'API e creare la vista. -Im non sono sicuro di questo perché ritengo che richieda una quantità ridondante di lavoro, ma potrebbe essere l'opzione migliore.
Sto usando c # .net per questo, se questo è importante. Preferibilmente HTML JS per il sito Web, ma non credere che sia possibile a meno che non si invii l'HTML dall'API.