我正在尝试对我的sails.js api 中的模型实施数据访问限制,并且正在寻找更好的解决方案。
到目前为止,我有限制对控制器上特定操作的访问的策略,该策略会修改请求以包含一个过滤器,该过滤器应始终添加到模型查询中。 比如:
{
"owner" : "davepreston"
}
目前,我看不到任何强制(或简化)过滤器使用的方法,因此如果我在控制器中使用 Model.find 并忘记添加过滤器,我可能会显示太多数据用户。
tldr; 有没有办法限制模型中的数据访问,以便所有访问模型的控制器自动获得相同的数据访问限制?
【问题讨论】:
一种方法是实现所谓的“自定义”Model Methods。
我不知道实际上覆盖正常的“find”方法是否是一个好习惯,因为它自己通过创建“FindOneByMyAttributeName”之类的函数来发挥一些魔力,但您可以实现“findWithRestriction”方法。
还请注意,谈到模型时,您(理论上)不应该在其中访问您的请求对象 (req),因此将当前用户作为自定义函数的参数;)
(在我自己的项目中,我坚持政策,如果您担心忘记限制和访问,您可以进行一些单元测试以验证您的正确管理)
【讨论】:
我在某个地方找到了可以覆盖模型的 toJSON 方法的地方: 覆盖模型的 toJSON() 方法
module.exports = {
attributes: {
...
toJSON: function() {
var obj = this.toObject();
delete obj.password;
return obj;
}
还有另一种可能的解决方案(不知道这是否适用于最新版本):
Model.find({select:['col1', 'col2','col3']})
【讨论】: