WSO2 ES上的资产由直接网址检索,无需访问控制。
尽管没有为匿名用户分配权限,但一旦用户拥有资产的网址,知道该网址的所有人都可以下载资源。
是否有计划对资产实施访问控制?
答案 0 :(得分:2)
这似乎是一个错误,因为在提供资源之前应该检查访问权限。 允许的角色列表在ext / config /文件夹中的配置文件中指定。其用法示例可在/store/config/ext/gadget.json中找到;
"storage": {
"images_banner": {
"lifecycle": {
"created": ["private_{overview_provider}"],
"in-review": ["reviewer", "private_{overview_provider}"],
"published": ["Internal/everyone", "private_{overview_provider}", "reviewer","anon"],
"unpublished": ["private_{overview_provider}"]
}
},
"images_thumbnail": {
"lifecycle": {
"created": ["private_{overview_provider}"],
"in-review": ["reviewer", "private_{overview_provider}"],
"published": ["Internal/everyone", "private_{overview_provider}", "reviewer","anon"],
"unpublished": ["private_{overview_provider}"]
}
}
}
我已为此问题[1]记录了一个JIRA,我们将在下一个版本中修复它。
[1] https://wso2.org/jira/browse/STORE-383
谢谢, Sameera