Strapi后端和查询限制

时间:2019-02-19 05:43:08

标签: backend strapi

我目前正在使用Strapi作为在线商店的后端,并且遇到这样的问题:默认情况下,Strapi返回GET查询中的所有数据,例如http://host.com/users将返回所有用户的字段,包括privateMessagesordersfavoritedProducts,但此数据应为私有数据。如何限制此设置,以便每个用户只能获得自己的私人数据?

Strapi还具有奇怪的权限设置,如果我允许更新User模型,这基本上意味着其他用户可以执行PUT查询并编辑其他用户的数据,但是如果我限制更新User模型,那么用户将无法更新自己的数据

1 个答案:

答案 0 :(得分:0)

要做到这一点,您将不得不基于ctx.state.user

中的信息添加自定义逻辑

文档https://strapi.io/documentation/3.x.x/guides/authentication.html#user-object-in-strapi-context

您可以创建策略并将其应用于所需的路由,也可以更新控制器代码以限制访问。