单个属性上的环回ACL？

Question

可以在Loopback中基于方法设置ACL。例如，您可以在Find, Update, Delete等设置访问级别。有没有办法过滤模型上的敏感属性？

假设我想通过REST公开我的用户模型，但我希望某些属性受ACL保护。例如，如果查询不是由所有者或管理员进行的，我可能不想公开phoneNumber或address。

Answer 1

我认为有两种不同的方法可以做到这一点：

• 使用您自己的远程方法findById扩展基本用户模型，并检查用户角色，向其公开不同的数据。
• 向findById添加一个“before”远程钩子，并检查用户是否是$ owner - 如果他是下一​​个呼叫，如果没有，则调用一个自定义方法，返回你要公开的数据给公共（查看{{3 }}），而不是100％确定这适用于内置用户方法思想

希望这有帮助， 格尔茨