如何阻止LoopBack 2.0中未经身份验证的用户创建新用户?
我刚刚对一个全新的LoopBack安装进行了快速测试,看起来任何匿名用户都可以通过向/api/users发送POST请求来创建新用户。
数据:
{"email": "test@test.com", "password": "hello123"}
回复代码:200
回应机构:
{
"email": "test@test.com",
"id": 2
}
除了这个问题,还有其他类似的安全问题我应该注意吗?
答案 0 :(得分:1)
这对我来说似乎不是一个安全问题。这是预期的行为。您可以在此处找到用户模型的默认ACL:http://docs.strongloop.com/display/public/LB/User#user 如果要限制对此方法的访问,则需要应用自定义ACL,例如,创建ADMIN角色并将某些操作限制为具有此角色的用户。一些相关的环回问题:
答案 1 :(得分:1)
如果您要创建具有受限访问权限的API,我同意这可能是一个问题。我确信有很多方法可以解决这个问题,比如为敏感数据创建受限制的访问角色,但是有一种简单的方法可以更改默认的用户模型ACL。