我只是在调查Dreamfactory,在我看来,所有权限逻辑都是由客户完成的。
我想开发一个包含文档的应用程序,并不是所有用户都可以编辑所有文档。如果登录用户具有数据库权限,我该如何阻止该用户进行删除或修改某个elses文档的错误API调用?
答案 0 :(得分:1)
虽然您的观察是正确的,但应用必须控制访问权限,我们会提供一些可以解决您问题的功能。
首先,角色系统非常灵活。您可以创建不同的角色,读者,编写者,管理员等。并将它们分配给相应的用户。这可以在今天完成。
其次,我们将在接下来的几周内发布一个具有多项新功能的更新,其中一项也将解决您的困境。我不是100%确定要命名的是什么,但它允许您让系统自动将运行时数据(即用户ID)注入到DSP的REST服务调用中。非常灵活和强大。
该版本将提供更多信息和文档,所以请稍等一下,我们会帮助您!
答案 1 :(得分:0)
月末即将发布的版本允许您进行服务器端过滤,或使用服务器端脚本来锁定用户只修改自己的记录或您认为合适的记录。