如何防止 LoopBack 2.0 中未经身份验证的用户创建新用户?
我刚刚对全新的 LoopBack 安装进行了快速测试,看起来任何匿名用户都可以通过简单地发送 POST 请求来创建新用户/api/users。
数据:
{"email": "test@test.com", "password": "hello123"}
响应代码:200
回复正文:
{
"email": "test@test.com",
"id": 2
}
除了这个问题,还有其他类似的安全问题我应该注意吗?
这对我来说似乎不是一个安全问题。这是预期的行为。您可以在此处找到用户模型的默认 ACL:http: //docs.strongloop.com/display/public/LB/User#user 如果您想限制对此方法的访问,您需要应用自定义 ACL,并且对于例如,创建 ADMIN 角色并将某些操作限制为具有该角色的用户。一些相关的环回问题:
如果您正在创建访问受限的 API,我同意这可能是一个问题。我确信有一些方法可以解决这个问题,例如为敏感数据创建受限访问角色,但如果有一种简单的方法可以更改默认的用户模型 ACL,那就太好了。