【发布时间】:2014-04-26 22:53:32
【问题描述】:
我只是在研究 Dreamfactory,在我看来,所有许可逻辑都应由客户完成。
我想开发一个带有文档的应用程序,并不是所有用户都可以编辑所有文档。如果登录的用户对数据库有权限,我如何防止该用户进行虚假的 API 调用来删除或修改其他人的文档?
【问题讨论】:
【发布时间】:2014-04-26 22:53:32
【问题描述】:
虽然您的观察是正确的,但该应用必须控制访问,但我们确实提供了一些可以解决您的问题的功能。
首先,角色系统非常灵活。您可以创建不同的角色,读者、作者、管理员等。并将它们分配给相应的用户。这可以在今天完成。
其次,我们将在接下来的几周内发布更新,其中包含几个新功能,其中之一也将解决您的困境。我不能 100% 确定它将被命名为什么,但它可以让系统自动将运行时数据(即用户 ID)注入到 DSP 的 REST 服务调用中。非常灵活和强大。
更多信息和文档将随版本发布,所以稍等一下,我们会带您到那里!
【讨论】:
月底即将发布的版本让您可以进行服务器端过滤,或使用服务器端脚本来锁定用户,使其只能修改自己的记录或您认为合适的记录。
【讨论】: