标签: box-api
检索Box文件上的评论时,评论可能是由当前用户以外的用户做出的。
评论对象包含用户名和ID,但不包含avatarUrl。
拨打用户/我的电话适用于当前用户。 我尝试用户/ userId为另一个用户(发表评论的用户),它似乎不起作用。
还有另一个切入点吗?
答案 0 :(得分:1)
不 - 您只能访问经过身份验证的用户的信息。
如果他们向任何用户打开API调用,则恶意攻击者可以下载所有邮箱的用户信息。我意识到这不是你的意图 - 这只是Box试图保护自己。