保护odataapi调用不受内部用户从内部进行的数据欺骗

假设对OData服务的访问不是匿名的,那么您将在服务器上拥有某种类型的当前登录的用户信息。

现在,检查是否允许用户访问他请求的数据是服务实现的一项重要任务。

/UserData('ALICE')
/UserData('BOB')

服务实现 必须 检查是否允许请求用户获取数据。例如,Alice将获得第一个请求的数据,第二个请求的数据是404。另一边是鲍勃。超级用户可以同时获得这两个方面的数据。

另一个例子是,这样的事情可能是可能的:每个员工都可以访问自己的数据,团队领导可以访问团队中每个人的数据。

底线:服务必须检查是否允许用户访问数据。