WSO2 ES 上的资产通过直接 URL检索,没有访问控制。
尽管没有为匿名用户分配权限,但一旦用户拥有资产的 URL,知道该 URL 的每个人都可以下载该资源。
是否有计划对资产实施访问控制?
这似乎是一个错误,因为应该在提供资源之前检查访问权限。允许的角色列表在 ext/config/ 文件夹中的配置文件中指定。其用法示例可在 /store/config/ext/gadget.json 中找到;
"storage": {
"images_banner": {
"lifecycle": {
"created": ["private_{overview_provider}"],
"in-review": ["reviewer", "private_{overview_provider}"],
"published": ["Internal/everyone", "private_{overview_provider}", "reviewer","anon"],
"unpublished": ["private_{overview_provider}"]
}
},
"images_thumbnail": {
"lifecycle": {
"created": ["private_{overview_provider}"],
"in-review": ["reviewer", "private_{overview_provider}"],
"published": ["Internal/everyone", "private_{overview_provider}", "reviewer","anon"],
"unpublished": ["private_{overview_provider}"]
}
}
}
我已经为这个问题记录了一个 JIRA [1],我们将在下一个版本中修复它。
[1] https://wso2.org/jira/browse/STORE-383
谢谢, 萨梅拉