那些遇到过的问题

Loopback acl和ownerid

FuZ*_*all 2 node.js strongloop loopbackjs

我对ACL如何在环回上工作有点怀疑.

我正在关注示例https://github.com/strongloop/loopback-example-access-control

REST Api允许create调用将ownerid作为参数传递,但不进行任何验证.

因此,经过身份验证的用户可以创建项目并将ownerid设置为任何值.我认为应该只允许管理员角色设置属性.

我知道我可以放一些代码来进行验证..但我相信必须根据当前登录的用户自动设置值.我错了或者我错过了什么?

谢谢!

via*_*iam 5

我经历了这么多时间才发现这一点.虽然看起来很像属于并且内置的persistedModel和UserModel之间的关系必须自动设置为ownerId但它可能是一个设计问题.

因此,为了实现您的目标,您必须在访问令牌参数的每个远程请求之前设置ownerId,如下所示:

Model.beforeRemote('create', function(context, model, next) {
    var req = context.req;
    req.body.ownerId = req.accessToken.userId;
    next();
});
Run Code Online (Sandbox Code Playgroud)

然后从api中隐藏ownerId属性.

编辑:

如果您想自动设置ownerId,请参阅此链接以获取更多详细信息.

归档时间:

查看次数:

462 次

最近记录:

8 年,9 月 前
相关归档
如何在node.js中移动文件? 125
跑Mocha + Istanbul + Babel 48
要导入 Sass 文件,首先需要安装 node-sass 18
ECMAScript-262的IDE,用于node.js/V8的IDE执行/调试 16
使用带有Google身份验证的Node Passport限制登录到特定域 15
Node.js中的"窗口未定义"错误 15
持久登录已停止使用Node.js,Express,PassportJS,Connect-Mongo 14
ctrl+c 上的 npm 错误 ELIFECYCLE 14
如何在 Nest.js 中提供静态 HTML 文件? 12
使PM2每10分钟只运行一次 11
难疑归档
如何在单个表达式中合并两个词典? 4349
数据库索引如何工作? 2335
如何使用对象作为成员循环一个普通的JavaScript对象? 1521
在视图控制器之间传递数据 1340
检查值是否是JavaScript中的对象 1194
Git:如何在项目提交历史中找到已删除的文件? 1183
在Python中检查类型的规范方法是什么? 1171
同步检查Node.js中是否存在文件/目录 1113
endsWith在JavaScript中 1085
让Chrome接受自签名的localhost证书 1080