Salve a tutti,
mi trovo alle prese con l'implementazione di un'applicazione basata su delle API RESTful.

Come da titolo il mio problema è il sistema di autorizzazione, quindi di permessi.

Studiando un po questa architettura ho capito che la fase di "Autenticazione" di un utente è diversa dalla fase di "Autorizzazione". Cioè una volta accertata l'identità dell'utente che sta effettuando una chiamata alle API è necessario verificare che quell'utente abbia i permessi per effettuare quanto desiderato su quella determinata risorsa.

ES.

GET - http://api.mioserver.it/car/2
DELETE - http://api.mioserver.it/car/2

L'operazione di DELETE può essere eseguita solo se l'utente che sta effettuando l'interrogazione è il proprietario della risorsa, cioè del record nella tabella CAR con ID=2, in caso contrario l'operazione deve essere negata.

Esistono delle best practice che permettano di avere un DB ben ordinato al fine realizzare questi controlli? O magari link o libri che possono aiutarmi?