情況： 我正在為我的公司編寫一個服務(wù)應(yīng)用程序，由于固定角色不適合我的情況，我想建立對我的 API 服務(wù)的基于 ACL 的訪問。模型和數(shù)據(jù)庫端不是我的問題。問題： 我將如何重新部署在身份驗證（JWT 和憑證）之后但在我的服務(wù)（獲取、發(fā)布等）之前運行的請求過濾器，該服務(wù)確定是否允許用戶調(diào)用該操作（在這個過濾器中我會檢查我的ACL 和返回允許或拒絕）。我不需要交鑰匙解決方案，但非常歡迎提出建議！細節(jié)：角色和用戶在實施時不存在。在我的前端中，我想創(chuàng)建角色和用戶（如 Windows 或類似的）并動態(tài)分配權(quán)限。角色和用戶的權(quán)利可能會改變。甚至角色也可以刪除并由其他人替換。