Javascript 如何防止未经验证的用户在环回2.0中创建新用户？_Javascript_Loopbackjs

Javascript 如何防止未经验证的用户在环回2.0中创建新用户？

javascript loopbackjs

Javascript 如何防止未经验证的用户在环回2.0中创建新用户？,javascript,loopbackjs,Javascript,Loopbackjs,如何防止未经验证的用户在环回2.0中创建新用户我刚刚对一个全新的环回安装进行了快速测试，看起来任何匿名用户都可以通过向/api/users发送POST请求来创建新用户数据：响应代码：200 答复机构： { "email": "test@test.com", "id": 2 } 除了这个问题，还有其他类似的安全问题需要我处理吗？我觉得这不是一个安全问题。这是预期的行为。您可以在此处找到用户模型的默认ACL：如果要限制对此方法的访问，则需要应用自定义ACL，例如，创建管理员角色，并

如何防止未经验证的用户在环回2.0中创建新用户

我刚刚对一个全新的环回安装进行了快速测试，看起来任何匿名用户都可以通过向

/api/users

发送POST请求来创建新用户

数据：

响应代码：200

答复机构：

{
  "email": "test@test.com",
  "id": 2
}

除了这个问题，还有其他类似的安全问题需要我处理吗？

我觉得这不是一个安全问题。这是预期的行为。您可以在此处找到用户模型的默认ACL：如果要限制对此方法的访问，则需要应用自定义ACL，例如，创建管理员角色，并将某些操作限制为具有此角色的用户。一些相关的环回问题：

如果您正在创建访问受限的API，我同意这可能是一个问题。我相信有一些方法可以解决这个问题，比如为敏感数据创建受限访问角色，但是如果有一个简单的方法来更改默认用户模型ACL，那就太好了

{
  "email": "test@test.com",
  "id": 2
}