Authentification et autorisation - Dilemme de back-end front-end vs vs
Je travaille sur le système d'API d'authentification et d'autorisation centralisée et je suis resté coincé dans le dilemme de back-end de première extrémité VS.
La personne frontale indique qu'il ne devrait avoir qu'une seule demande à cette API d'avoir un utilisateur authentifié et autorisé en même temps avec la réponse de la réponse contenant des JWT, des rôles d'utilisateur et des données utilisateur.
La personne en arrière affirme que le front-end devrait avoir deux appels. Premièrement, authentifier l'utilisateur (processus de connexion) avec JWT Response que sur une seconde pour autoriser à récupérer les autorisations, les rôles et les données utilisateur des utilisateurs.
Quelle approche est correcte? Personnellement, je pense que plus logique est la première proposition, mais je ne trouve aucun bon exemple qui évitera une personne en arrière de la personne "mais que vous pouvez ajouter un deuxième appel à l'API pour l'autorisation".
Comme mentionné @adriano dans le commentaire, il a du sens lorsque les deux services étaient sur différents points d'extrémité et vous trouverez bien sûr beaucoup de ces conceptions. Mais pour une seule demande, je pense que c'est basé sur votre entreprise.
disons que deux fonctions sont nécessaires dans un ou deux appels,
- savoir qui est l'utilisateur
- savoir ce que l'utilisateur peut faire
Si vous avez des scénarios dans lesquels seulement la 1ère ou la deuxième fonction est requis, il est raisonnable de les séparer.
Si vous avez un plan clair que l'authentification et l'autorisation quasi futures seront deux services, puis les séparez simplement.
Sinon, je pense que vous devez aligner sur le développeur de backend pour vous assurer pourquoi - du contexte commercial - est deux appels requis.