我正在尝试为我的 REST API 设置访问控制。 Loopback 为处理基于用户/角色/主体的访问提供了一个很好的起点。
但如果我想要的不仅仅是提供的东西怎么办,例如模型实例的多个所有者?将条目添加到 ACL 表就足够了吗?或者我应该创建一个新的角色/解析器,如果是这样,我可以/应该重用现有的 ACL 模型/表还是自己滚动?
Loopback 很棒,但文档缺乏深度,最终您只能阅读源代码。
【问题讨论】:
标签: node.js acl loopbackjs
在这种特殊情况下,我建议创建一个自定义角色解析器。
类似这样的:
Role.registerResolver('$inOwners', function (role, ctx, callback) {
ctx.model.count({
id: ctx.modelId,
// This only works for mongo db...
owners: ctx.accessToken.userId
}, function(err, count) {
if (err) {
callback(err);
} else if (count) {
callback();
} else {
callback(new Error('Not Owner'));
}
});
});
然后您可以将其添加到 acls(在模型静态 acls 中,在 json 文件中,或将其添加到 ACL 表中):
{
"accessType": "*",
"principalType": "ROLE",
"principalId": "$inOwners",
"permission": "ALLOW",
"property": "*",
"model": "*"
}
请记住,当对环回方法的访问取决于文档/行中的内容时,您只能使用角色解析器为其定义 ACL,否则您必须创建自己的 ACL 系统。
【讨论】: