Loopbackjs 某些记录上的ACL而不是API URL
我被一个登录用户可以在类似CMS的系统中创建博客帖子的场景所困扰。因此,他在后端系统中创建这些帖子 当该用户在中的管理面板的Loopbackjs 某些记录上的ACL而不是API URL,loopbackjs,strongloop,loopback,Loopbackjs,Strongloop,Loopback,我被一个登录用户可以在类似CMS的系统中创建博客帖子的场景所困扰。因此,他在后端系统中创建这些帖子 当该用户在中的管理面板的Blog页面上时,会发送如下API请求: /api/blogs?filter={'userid': '100'} 这将获取此用户的所有博客帖子。此用户只能查看和编辑自己的博客文章 但如果他将URL更改为以下内容: /api/blogs?filter={'userid': '1'} 然后他可以得到其他用户的博客帖子,我不允许这样做 我知道环回有ACL。但据我所知,这只能对
Blog/api/blogs?filter={'userid': '100'}
/api/blogs?filter={'userid': '1'}
GETPOST/api/blogs我应该如何在环回中以动态的方式处理这种情况?如果我完全理解您,您的问题可以通过“远程方法”和“远程挂钩”解决
module.exports = function (Blog){
Blog.getBlogs = function(userid, cb){
// Db operation.
// Fetch blogs by userid.
cb(null, blogs);
};
Blog.remoteMethod('getBlogs', {
accepts: {arg: 'userid', type: 'number'},
returns: {arg: 'blogs', type: 'object'}
});
Blog.beforeRemote('getBlogs', function(ctx, unused, next) {
if(ctx.req.accessToken) {
// Fetch user id by accesToken
// Compare user id's
next();
} else {
next(new Error('You are not allowed to get these messages'))
}
});
}