我已經創建了基於內置用戶模型的Web用戶模型。拒絕回送中的權限問題
這是 「webuser.json」 這種模式的ACL條目:
"acls": [
{
"accessType": "*",
"principalType": "ROLE",
"principalId": "$everyone",
"permission": "DENY"
}
]
令我驚訝,我可以通過POST/API/web用戶/登錄密碼,沒有任何問題。我希望所有訪問都被拒絕。
我在做什麼錯?
嗯,我相信default user acls仍然在工作,他們不會被覆蓋。環回方式決定哪個ACL條目對請求有效,是通過選擇稍後顯示的最特定的一個。因此,回送的定義此項:
{
"principalType": "ROLE",
"principalId": "$everyone",
"permission": "ALLOW",
"property": "login"
}
因爲它是具體,因爲它得到,打,你必須在你的模型補充一點:
{
"principalType": "ROLE",
"principalId": "$everyone",
"permission": "DENY",
"property": "login"
}
還有另一種方式來刪除默認的用戶通過代碼訪問,但沒有記錄。
很酷,謝謝!我認爲覆蓋和否認完整的用戶訪問就足夠了。你的參賽做了這個工作。 – Aleks