laravel RESTful APIのきめ細かなデータレベルの権限

エンティティをAPI応答モデルから分離します。これはSRP（単一責任原則）の場合です。エンティティの仕事は、DBアクセスを便利にすることです。あなたはそれに2つの責任を追加し、SRPに違反しています：

• 権限の適用
• パブリックインターフェイスとして機能する

つまり、この回答には2つの部分があります。

公開APIを持っている

パブリックAPIは、ユーザーに明記されていない限り、安定しており、下位互換性がある必要があります可能な限り最も明示的な方法で。つまり、パブリックAPIを変更するコードベースの変更は、本番環境にリリースする前に、下位互換性について慎重に確認する必要があります。現在のアプローチでは、そうするのが非常に困難になります。エンティティのプロパティの名前を変更したいとします。 IDEはすべての使用法をキャッチして名前を変更しました。しかし、APIを使用する他のコードについてはどうですか？それでも古い名前を探しているので壊れます。すべての情報がそこにある限り、エンティティを変更してパブリックAPIに影響を及ぼさないことがここで本当に必要です。解決策：APIに個別のクラスを用意します。エンティティごとに、（現在）を反映する別のクラスを用意しますエンティティ。APIから入力を受け取ったら、JSONをこれらの中間インスタンスに変換します。検証を行ってその後のみデータをエンティティにコピーします。データを渡すときは、まずエンティティをそれらの中間クラスに変換しますそして、それらをJSONに変換します。はい、それはより多くの作業を意味します。ただし、APIを公開するとすぐに、柔軟性が得られます100％確実に必要になります。この作業は、30より簡単に実行できるようになりました。後で機能します。

権限の適用

これで、この責任をAPI表現クラスに含めるか、個別に行うかを決定できます。これを、エンティティから表現クラスにデータをコピーするプロセスに含めることもできます。それは本当にあなたのコードベース、チーム、そして好みに依存します。そのコードをどこに配置しても、SRPに違反していないことを確認してください。

パフォーマンス

すでに述べたように、権限のために表示されないフィールドをDBからフェッチしないことさえ可能です。通常のフィールドの場合、パフォーマンスへの影響は無視できます（数KBのBLOBフィールドについて話している場合を除く）。しかし、これが本当に重要なのは関連するエンティティです。とにかく使用されないために3つの結合を回避できる場合、それは決定的で非常に高速です。この問題に関するiipavlovの回答を参照してください。