У меня есть немного сомнений относительно того, как ACL работает в loopback.Loopback acl и ownerid
Я следую образец https://github.com/strongloop/loopback-example-access-control
The Rest Api позволяет создать вызов, чтобы передать OwnerId в качестве параметра, но не делает никаких проверки.
Таким образом, аутентифицированный пользователь может, например, создать проект и установить идентификатор владельца в любое значение. Я считаю, что свойство должно быть разрешено устанавливать только роль администратора.
Я знаю, что могу поместить некоторый код для проверки. Но я считаю, что значение должно быть установлено автоматически на основе пользователя, который в настоящее время вошел в систему. Я ошибаюсь или что-то не хватает?
Спасибо!
Вы используете определения ACL из readme? Если это так, POST должен разрешаться только в/api/projects/donate и/api/projects/remove. Если вы публикуете свой проект.json, мы можем проверить определение ACL – amuramoto