exposable…呼び出し元のユーザーに基づいたデータの取得・変更の権限チェックが行われているもの(デフォルト)unexposable…そのような制御が行われておらず、任意のデータの取得・変更が行えるもの ... internal
skip_authorization = true
であれば unexposable、skip_authorization = false
であれば exposable、何も書かなければゼロ値で false
なのでやはり exposable、となります。つまり、デフォルトは exposable とすることを意図しています。skip_authorization = true
という表明がない限り、呼び出し元のユーザーに応じて適切な取得・変更の制御を行なっていることをチェックすべきです。skip_authorization = true
の表明をしている API につなぎこまないようにチェックすべきです。x-current-user-id
という名前の HTTP / gRPC ヘッダーに入れるようにします。"current user id" よりは "authenticated user id" の方が本来の意味と近いですが、既存のコードを鑑みてこのようにしています。