0
我试图为我的rest API设置访问控制。 Loopback为处理基于用户/角色/委托人的访问提供了一个很好的起点。如何使用Loopback ACL模型/表?
但是,如果我想要的东西超过提供的,例如模型实例的多个所有者?将条目添加到ACL表中就足够了吗?或者我应该创建一个新的角色/解析器,如果可以,我可以/应该重新使用现有的ACL模型/表还是自己推出?
Loopback很棒,但文档缺乏深度,最终导致您阅读源代码。
A
回答
1
那么在这种特殊情况下,我建议创建一个自定义角色解析器。
事情是这样的:
Role.registerResolver('$inOwners', function (role, ctx, callback) {
ctx.model.count({
id: ctx.modelId,
// This only works for mongo db...
owners: ctx.accessToken.userId
}, function(err, count) {
if (err) {
callback(err);
} else if (count) {
callback();
} else {
callback(new Error('Not Owner'));
}
});
});
然后你就可以将其添加到访问控制列表(无论是在车型静态的ACL,在JSON文件,或者将其添加到ACL表):
{
"accessType": "*",
"principalType": "ROLE",
"principalId": "$inOwners",
"permission": "ALLOW",
"property": "*",
"model": "*"
}
请记住,无论何时访问回送方法取决于文档/行内的内容,您只能使用角色解析程序为其定义ACL,否则您必须创建自己的ACL系统。
相关问题
- 1. 用户模型的loopback ACL
- 2. Loopback acl和ownerid
- 3. LoopBack ACL不起作用
- 4. 如何使用回送ACL模型?
- 5. 如何使用Loopback ACL修改用户角色的权限
- 6. 如何删除LoopBack中的模型?
- 7. loopback父模型 - 如何设置属性并创建子模型
- 8. 生成模型图loopback
- 9. LoopBack:从MySql导入模型
- 10. 如何创建基于模型的Acl
- 11. LoopBack AngularJS扩展用户模型
- 12. 如何让Loopback模型事件起作用?
- 13. 如何构建访问控制列表(ACL)的数据模型
- 14. 如何在Loopback中使用组合ID?
- 15. 如何使用aws cognito和Loopback
- 16. 如何使用LoopBack(strongloop)为相关模型的“destroyAll”配置访问控制
- 17. 设计用户/组ACL数据模型
- 18. 如何使用Symfony的ACL
- 19. 我如何访问Loopback中的模型实例的相关模型Android
- 20. 使用Loopback创建模型之间的关系
- 21. 使用现有数据填充Loopback模型
- 22. Loopback ng-sdk模型在使用$ q.resolve时不会更新
- 23. LoopBack API - 内置模型和持久性
- 24. Loopback:检测模型中的变化
- 25. 如何从LoopBack模型中读取查询过滤器
- 26. 如何在Loopback中创建数据视图模型?
- 27. Loopback:在模型钩子中获取模型更改
- 28. 如何在loopback-MongoDB中使用Redis
- 29. Acl node.js模块
- 30. Loopback模拟会话
谢谢! :)。 我的理解是正确的,因为ACL表基本上只是模型json文件中指定的内容的持久性。 您的示例在模型中使用了一个包含对象所有者的字段。如果我想要更多的控制,例如所有者,编辑,个人实例的观众,这可能会在一个新的“instance_acl”表中? –
是的。您可以使用ACL表格来获取动态内容(例如管理员可以管理其他用户的权限),并且这些内容位于模型json文件中,仅用于静态内容。为了获得更多控制权,您可以创建更具体的acl条目,或者您可以在角色解析器中添加更多逻辑。 –