环回错误 acl 不起作用？

Question

我尝试为模型（命名为公司）实现acl

      "relations": {
       "user": {
       "type": "belongsTo",
       "model": "user",
       "foreignKey": "company_id"
     }
   },
      "acls": [
           {
          "accessType": "*",
          "principalType": "ROLE",
          "principalId": "$everyone",
          "permission": "DENY"
        },
     {
         "accessType": "*",
         "principalType": "ROLE",
         "principalId": "$owner",
          "permission": "ALLOW"
      }
   ],

拒绝所有用户并仅访问该对象的经过身份验证的用户所有者。在这里，我还尝试为在短管理员中拥有所有权限的超级用户添加权限，并且 objec(data) 的所有者可以做 crud 是否有任何建议，请帮助

Answer 1

您可以拒绝所有未经身份验证的用户，然后拒绝所有人并只允许所有者，如下所示：

{
      "accessType": "*",
      "principalType": "ROLE",
      "principalId": "$unauthenticated",
      "permission": "DENY"
},

{
      "accessType": "*",
      "principalType": "ROLE",
      "principalId": "$everyone",
      "permission": "DENY"
},   

{
      "accessType": "*",
      "principalType": "ROLE",
      "principalId": "$owner",
      "permission": "ALLOW"
}

$owner 只需要 CRUD，您可以为您的用户分配所需的属性，如下所示：

    {
              "accessType": "*",
              "principalType": "ROLE",
              "principalId": "$owner",
              "permission": "ALLOW",
              "property": [
                 "find",
                 "create",
                 "updateAll",
                 "delete"
          ]
    }

对于超级用户，您应该创建此角色并将其分配给您的一位用户。

{
  "accessType": "*",
  "principalType": "ROLE",
  "principalId": "superuser",
  "permission": "ALLOW"
}

如何创建角色？你可以关注文档here。

并确保您拥有此文件/server/boot/autentication.js并启用身份验证：server.enableAuth()

'use strict';

module.exports = function enableAuthentication(server) {
  // enable authentication
  server.enableAuth();
};

更多ACL技巧请阅读官方文档here。