我有一组存储在默认应用服务/Users
集合中的用户。
开箱即用,要创建用户,您只需要收集以下数据:
{
"username" : "john.doe",
"email" : "john.doe@gmail.com",
"name" : "John Doe",
"password" : "test1234"
}
姓名和电子邮件不是特别敏感(尽管仍应妥善保护),但如果我想包括地址、出生日期、母亲的娘家姓等,这些数据将变得更加敏感。
幸运/users
的是,未经身份验证,数据不可用,但如果我请求access_token
并登录的话。
当然,人们可以很容易地设计一个前端来掩盖敏感位,将其隐藏起来。但是查看底层端点,捕获 myaccess_token
并向 发出经过身份验证的 GET 请求并不需要太多/{org}/{app}/users
,因此可以看到每个用户的所有个人信息。
是否可以通过角色和权限或所有权将实体的部分限制为仅self
?(例如,登录用户可以访问他们的整个用户实体,但只能访问其他用户实体的有限部分)。
如果没有,是否有不同的方法来解决这种困境并保护用户对象中的敏感信息?