我对ACL如何在环回上工作有点怀疑.
我正在关注示例https://github.com/strongloop/loopback-example-access-control
REST Api允许create调用将ownerid作为参数传递,但不进行任何验证.
因此,经过身份验证的用户可以创建项目并将ownerid设置为任何值.我认为应该只允许管理员角色设置属性.
我知道我可以放一些代码来进行验证..但我相信必须根据当前登录的用户自动设置值.我错了或者我错过了什么?
谢谢!
node.js strongloop loopbackjs
loopbackjs ×1
node.js ×1
strongloop ×1