Question

如果我知道其他用户的用户ID和URL（"acls": [ { "principalType": "ROLE", "principalId": "$everyone", "permission": "DENY" }, { "principalType": "ROLE", "principalId": "$everyone", "property": "create", "permission": "ALLOW" } ]），我可以获得该用户的访问令牌并伪造他的行为。我对吗？从默认的LoopBack项目中查找遵循AccessToken模型的标准ACL。我使用上面的方法而不是刷新令牌。还有更好的办法吗？

Answer 1

检查您的模型配置文件，并为AccessToken类设置 public false 。

  "AccessToken": {
    "dataSource": "db",
    "public": false
  },

AccessToken永远不应该通过api来公开，它只能由用户模型在内部使用。

StrongLoop AccessToken Create适用于Public

1 个答案: