我目前正在使用Strapi作为在线商店的后端,并且遇到这样的问题:默认情况下,Strapi返回GET查询中的所有数据,例如http://host.com/users
将返回所有用户的字段,包括privateMessages
,orders
,favoritedProducts
,但此数据应为私有数据。如何限制此设置,以便每个用户只能获得自己的私人数据?
Strapi还具有奇怪的权限设置,如果我允许更新User
模型,这基本上意味着其他用户可以执行PUT查询并编辑其他用户的数据,但是如果我限制更新User
模型,那么用户将无法更新自己的数据
答案 0 :(得分:0)
要做到这一点,您将不得不基于ctx.state.user
文档https://strapi.io/documentation/3.x.x/guides/authentication.html#user-object-in-strapi-context
您可以创建策略并将其应用于所需的路由,也可以更新控制器代码以限制访问。