我收集了存储在默认应用服务/Users
集合中的用户。Apigee应用服务 - 保护/ Users集合中的敏感数据
开箱,创建一个用户,你只需要收集以下数据:
{
"username" : "john.doe",
"email" : "[email protected]",
"name" : "John Doe",
"password" : "test1234"
}
姓名和电子邮件是不是特别敏感的(尽管仍必须适当地固定),但如果我想要包含地址,出生日期,母亲的婚前姓名等,这些数据会变得更为敏感。
幸运/users
数据不可用而无需验证,但是,如果我请求access_token
并登录。
当然人们可以容易地设计一前端,可以掩盖敏感位,从视图中隐藏了。但是看看底层端点,捕获我的access_token
并向/{org}/{app}/users
发送一个经过验证的GET请求并不需要太多,因此每个用户的个人信息都会看到所有的。
是否有可能通过roles and permissions或所有权将实体的分段仅限制为self
?(例如,登录的用户可以访问其整个用户实体,但只能访问其他用户实体的有限部分)。
如果没有,是否有不同的方式来解决这种困境并保护用户对象中的敏感信息?
谢谢罗德。然而,在许多情况下,用户需要能够查询(用于搜索目录等)。那么没有办法将未经授权的用户隐藏用户实体块? – brandonscript