0

WSO2 ES 上的资产通过直接 URL检索,没有访问控制。

尽管没有为匿名用户分配权限,但一旦用户拥有资产的 URL,知道该 URL 的每个人都可以下载该资源。

是否有计划对资产实施访问控制?

4

1 回答 1

2

这似乎是一个错误,因为应该在提供资源之前检查访问权限。允许的角色列表在 ext/config/ 文件夹中的配置文件中指定。其用法示例可在 /store/config/ext/gadget.json 中找到;

"storage": {

    "images_banner": {

        "lifecycle": {
            "created": ["private_{overview_provider}"],
            "in-review": ["reviewer", "private_{overview_provider}"],
            "published": ["Internal/everyone", "private_{overview_provider}", "reviewer","anon"],
            "unpublished": ["private_{overview_provider}"]
        }
    },

    "images_thumbnail": {

        "lifecycle": {
            "created": ["private_{overview_provider}"],
            "in-review": ["reviewer", "private_{overview_provider}"],
            "published": ["Internal/everyone", "private_{overview_provider}", "reviewer","anon"],
            "unpublished": ["private_{overview_provider}"]
        }
    }

}

我已经为这个问题记录了一个 JIRA [1],我们将在下一个版本中修复它。

[1] https://wso2.org/jira/browse/STORE-383

谢谢, 萨梅拉

于 2014-02-03T07:01:28.600 回答