У меня есть база данных с несколькими арендаторами с составным ключом
clientId - docId
Маршрутизация выглядит так:
/api/controller/clientId/docId
Для аутентификации я использую "глобальное" имя пользователя, такое как адрес электронной почты + пароль, отправленный в HTTP-заголовке каждого запроса через https. Имя пользователя явно отображается клиенту и доступно на сервере.
Как правильно это сделать с отдыхом и иметь лучшую безопасность?
- Маршрут, как указано выше, и просто убедитесь, что clientId в соответствии с именем пользователя совпадает с маршрутизацией
или
-
Измените маршрутизацию, как показано ниже, и получите clientId из базы данных, прежде чем сохранять запись?
/api/controller/docId
Это может быть очевидный вопрос, но я беспокоюсь о потенциальных проблемах безопасности. Или просто нелегко пойти с более короткой маршрутизацией?
Спасибо!