Je crée une application Web structurée API et dans cette application, nous avons différentes couches qui font leur propre travail.
La première couche est la couche de validation qui valide les entrées de l'utilisateur et si elle passe la validation, nous la déplaçons vers la deuxième couche (qui est la couche de contrôle d'accès ) sinon, retournons le message d'erreur
La deuxième couche est le contrôle d'accès qui vérifie si l'utilisateur est autorisé à effectuer la tâche qu'il souhaite effectuer.Si l'utilisateur a la permission, il déplace la demande vers la couche suivante, sinon renvoie un message d'erreur
La troisième couche est la couche contrôleur où nous avons la logique d'application
Ma question est la suivante: est-ce correct d'avoir une couche de validation avant le contrôle d'accès? Que se passe-t-il si l'utilisateur essaie d'effectuer une tâche à laquelle l'utilisateur n'a pas l'autorisation et que nous renvoyons un message d'erreur de validation? L'utilisateur enverrait des demandes à un point de terminaison et parlerait avec la couche de validation et une fois la validation réussie, il verrait le messageYou can't access this!
Cela me semble étrange, est-ce que c'est bien comme ça ou quelles pourraient être mes autres options dans l'infrastructure?