我在mysql数据库中维护我的ACL数据(My model的ACL列表)。它对我提到的远程方法(属性列)的作用很好。
对于某些型号,我必须拒绝访问模型的所有远程方法。对于这些用例,我应该在表中的那个模型的属性列中提到什么?
通常情况下,如果我们在其json中维护模型的ACL,并且如果我们需要拒绝该特定模型的所有远程方法访问,那么我们就不需要提及'property'值。它将拒绝所有远程方法的访问。
拒绝所有远程方法:
{
"accessType": "*",
"principalType": "ROLE",
"principalId": "$unauthenticated",
"permission": "DENY"
}
拒绝特定的远程方法'getDistrict':
{
"accessType": "READ",
"principalType": "ROLE",
"principalId": "$unauthenticated",
"permission": "DENY",
"property": "getDistrict"
}
但是,在数据库表的情况下,如果我需要拒绝访问模型的所有远程方法,我必须在属性列中提及什么? ('ALL',或'*'或left blank?)
另外,如果我错了,请纠正我。
谢谢
答案 0 :(得分:1)
https://loopback.io/doc/en/lb3/Controlling-data-access.html#user-access-types
对于其他方法,默认访问类型为EXECUTE;
例如,自定义方法映射到EXECUTE访问类型。
所以拒绝使用所有远程方法
{
"accessType": "EXECUTE",
"principalType": "ROLE",
"principalId": "$everyone",
"permission": "DENY"
}
编辑:要实际回答问题,您不能存储任何内容,因为accessType: "EXECUTE"涵盖了所有自定义远程方法。
acl source中的这一行表示他们不会对属性进行通配符匹配
var isMatchingMethodName = props[i] === 'property' &&
req.methodNames.indexOf(ruleValue) !== -1;