пользователя. например запретить одному типу пользователя удалять сообщения пользователя другого типа пользователя. стоит делать виртуальные поля которые будут динамически рассчитываться при .toJSON() или лучше разнести проверку на соответствие пользователя каждому типу по функциям в сервисе?
Для этого можно сделать гварду. Которая будет считывать из контекста метода контроллера какие права нужны на ее вызов пользователями.
ну по сути гварда будет сравнимать пермишены, так например обычный полльзователь отправляет реквест на удаление сообщения админа что делать он не может. можете подробнее про контекст подсказать?
если ты из России, то у нас запрещено удалять данные и везде юзаем софт делет, поля добавь deleted, createdBy, updatedBy и при удалении в базу уйдет запись где в updatedBy будет текущий юзер, напиши в базе триггер который при изменении свойства deleted сравнит юзеров из тенкущих createdBy, updatedBy с новым updatedBy если отличаются выкинет ошибку что юзер не тот, можно и группы там сравнить
Обсуждают сегодня