所以我有一个包含一些字段的模型:
// ...
slug: {
type: 'string',
required: true,
alphanumeric: true,
minLength: 3,
maxLength: 16
},
loggedinAt: 'date',
// ...
我正在使用 Sails 蓝图结构,因此它会自动映射所有内容。但是,有时我有像 loggedinAt 这样的字段,它们是严格内部的,我不希望它们能够由用户设置。
就目前而言,如果我使用loggedinAt 字段发出帖子请求,它将设置它。我该如何限制呢?
【问题讨论】:
标签: node.js mongodb express sails.js waterline
您可以使用策略来限制这种行为。在 api/policies/restrictUserCreate.js:
module.exports = function (req, res, next) {
// Check for the "loggedInAt" field in the request
if (req.param('loggedInAt')) {
return res.badRequest("Nuh uh, you can't set that!");
}
return next();
}
或者,要忽略某些字段(仅限 Sails v0.10.x),请使用 黑名单:
module.exports = function (req, res, next) {
// Make sure blacklist object exists, and use existing one if possible,
// since this policy could be chained
req.options.values = req.options.values || {};
req.options.values.blacklist = req.options.values.blacklist || [];
// Add restricted fields to the blacklist
req.options.values.blacklist.push('loggedinAt');
return next();
}
然后在 config/policies.js 中:
// Assuming your controller is "UserController"
UserController: {
create: "restrictUserCreate"
}
【讨论】:
req.params 中删除项目是不可靠的,因为 Sails 将参数分别绑定到每个中间件。这就是发明req.options 的原因。黑名单应该适用于 v0.10.x 的任何版本。
req.options 即将上线 undefined...?