我已经创建了基于内置用户模型的Web用户模型。拒绝回送中的权限问题
这是 “webuser.json” 这种模式的ACL条目:
"acls": [
{
"accessType": "*",
"principalType": "ROLE",
"principalId": "$everyone",
"permission": "DENY"
}
]
令我惊讶,我可以通过POST/API/web用户/登录密码,没有任何问题。我希望所有访问都被拒绝。
我在做什么错?
嗯,我相信default user acls仍然在工作,他们不会被覆盖。环回方式决定哪个ACL条目对请求有效,是通过选择稍后显示的最特定的一个。因此,回送的定义此项:
{
"principalType": "ROLE",
"principalId": "$everyone",
"permission": "ALLOW",
"property": "login"
}
因为它是具体,因为它得到,打,你必须在你的模型补充一点:
{
"principalType": "ROLE",
"principalId": "$everyone",
"permission": "DENY",
"property": "login"
}
还有另一种方式来删除默认的用户通过代码访问,但没有记录。
很酷,谢谢!我认为覆盖和否认完整的用户访问就足够了。你的参赛做了这个工作。 – Aleks