gpt4 book ai didi

node.js - 用户模型的环回 ACL

转载 作者:搜寻专家 更新时间:2023-11-01 00:38:45 25 4
gpt4 key购买 nike

我正在使用环回为 SPA 网站创建一个简单的 API。我想让我的权限尽可能简单,所以我最终得到了以下 ACL 模型

  • 默认拒绝所有权限
  • 每个人都可以使用几种模型中的某些方法
  • 任何授权用户都可以使用所有方法

如果我将创建多个用户并且没有人能够再创建或修改用户,这显然会起作用。由于我无法显式更改内置 User 模型的权限,因此我创建了一个 admin 模型,它扩展了 User。然后我将 User 模型的 public 属性设置为 false。我设置如下ACL规则

{
"accessType": "*",
"principalType": "ROLE",
"principalId": "$everyone",
"permission": "DENY"
},
{
"accessType": "EXECUTE",
"principalType": "ROLE",
"principalId": "$everyone",
"permission": "ALLOW",
"property": "login"
},
{
"accessType": "*",
"principalType": "ROLE",
"principalId": "$authenticated",
"permission": "ALLOW"
}

在我看来,它应该拒绝任何未经授权的用户访问除login 之外的任何方法。

不幸的是,这不是它的工作方式,任何人仍然可以 POST 到/users 并创建新用户。我的猜测是 ACL 规则不适用于继承的模型,因此此处应用了 User 的规则。所以我回到原点,我不能直接更改 User 权限或覆盖它们。

我在这里有哪些选择?有没有办法阻止创建新用户?

最佳答案

事实证明,规则细节比继承级别更重要。在这种情况下,User 模型专门为 create 属性定义了一个规则。此规则优先于更一般的拒绝每个属性,即使拒绝规则是在扩展的 admin 模型中定义的。所以我必须从 User 模型中获取所有允许的规则,并在 admin 中明确拒绝它们。

关于node.js - 用户模型的环回 ACL,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42157039/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com