客户端(和服务?)的REST接口
问题描述:
在N层体系结构中,REST接口暴露了一些资源。客户需要使用基于TLS的基本身份验证进行身份验证。业务逻辑确保数据有效并被系统接受。应用过滤器以确保租户只能查看和更改其数据。 如果一个服务需要处理同样的数据,那会是更好的
1)有它使用相同的REST接口,但应用服务级过滤器,并使用技术帐户进行验证
或将是最好
2)是否有服务帐户直接使用业务(域)层?`客户端(和服务?)的REST接口
对于使用其他方法,您有什么看法或逻辑?
答
默认情况下,我允许业务层直接访问,因为这看起来是最简单的选项。只有在存在特定原因的情况下,我才坚持所有请求都通过REST层的身份验证。
与大多数情况一样,这取决于您的业务案例。
您是否需要向REST客户端和业务层公开完全相同的服务?还是有微妙的差异?
您是否需要知道对服务层的请求是源自REST客户端还是业务层?
您是否希望REST层成为安全性,日志记录等的单点入口?