Модель не должна определять права доступа
Проверка пользователя и разрешённых источников выполняется до передачи контекста модели. Такой порядок не зависит от того, используется внешнее API или локальная модель.
- Идентификация пользователя
- Проверка роли
- Фильтрация источников
- Минимизация контекста
- Журналирование операции
Передавайте только необходимый контекст
В запрос модели не нужно включать весь документ или карточку клиента. Серверный слой может выбрать релевантные поля, удалить чувствительные данные и ограничить объём истории.
Логи тоже требуют политики хранения
Полезно разделять технические метрики и содержимое запросов. Срок хранения, доступ к журналам и возможность обезличивания определяются до запуска.