我只是在研究 Dreamfactory,在我看来,所有许可逻辑都由客户完成。
我想开发一个带有文档的应用程序,并且并非所有用户都可以编辑所有文档。如果登录用户对数据库具有权限,我如何防止该用户进行虚假 API 调用来删除或修改其他人的文档?
问问题
475 次
2 回答
1
虽然您的观察是正确的,但该应用程序必须控制访问,我们确实提供了一些可以解决您的问题的功能。
首先,角色系统非常灵活。您可以创建不同的角色,读者、作者、管理员等。并将它们分配给相应的用户。这可以在今天完成。
其次,我们将在接下来的几周内发布更新,其中包含几个新功能,其中之一也将解决您的困境。我不能 100% 确定它将被命名为什么,但它可以让系统自动将运行时数据(即用户 ID)注入到 DSP 的 REST 服务调用中。非常灵活和强大。
更多信息和文档将随发布提供,所以稍等一下,我们会带您到那里!
于 2014-03-22T02:05:27.867 回答
0
本月底即将发布的版本允许您执行服务器端过滤器,或使用服务器端脚本来锁定用户只修改他们自己的记录或您认为合适的记录。
于 2014-03-22T02:07:36.010 回答