userID in accessToken

Question

Почему userId предоставляется вместе с accessToken? Можем ли мы найти userId с использованием фильтра API AccessToken? Может ли кто-нибудь объяснить логику?

В настоящее время API (GET /accessTokens/{id}) ОТПРАВЛЕН ДЛЯ всех. Как мы можем переопределить то же самое, чтобы можно было проследить userId.

{ 
    "id": "UksV2aTVyKfUAzBm8cQKRO9NkCIKUHZCXXr4gZNrCj9zXBiUX8kXVE97RDQl1PcC", 
    "ttl": 1209600, 
    "created": "2016-02-25T11:21:13.253Z", 
    "userId": "56cbf0beda568ffb103b78bc" 
    } 

Answer 1

Я могу ошибаться, но я очень сомневаюсь, что вы могли бы получить идентификатор пользователя из маркера доступа (в основном, обратный маркер) только расчетным путем, так как это crytographically generated маркер.

Если ваша цель ограничить доступ к определенному ресурсу определенному пользователю, необходимо установить связь между моделью и userModel, например UserModelhasManyForumPosts

Таким образом, вы можете знать, является ли конкретный ForumPosts экземпляр принадлежит определенному экземпляру UserModel (= конкретный пользователь).

Затем вы устанавливаете контроль доступа:

• отрицает все для всех
• GRANT $ владельца специфического метода ForumPosts

Вы можете назвать отдых конечной точку, как DELETE api/UserModel/{userId}/ForumPosts/{modelId}?access_token=UksV2aTVyKfUAzBm8cQKRO9NkCIKUHZCXXr4gZNrCj9zXBiUX8kXVE97RDQl1PcC

Однако этого недостаточно. аутентифицированный пользователь с ID = 1 может вызывать конечную точку с id = 5, и запрос будет проходить.

Таким образом, вам необходимо убедиться, что userId, предоставленный в конечной точке, соответствует токену JSON. Лучший способ - использовать operation hook, например before delete, и проверить там, что генерация токена из предоставленного конечной точки пользователя соответствует совпадающему маркеру.

Надеется, что это помогает