REST API 删除用户的接口报错403

136975643 2021-12-06 09:04:33 UTC #1

是按照你们官方文档使用的：https://leancloud.cn/docs/rest_api.html#hash664279379

请求头里我设置了要删除的用户的X-LC-Session（是注册或登录时返回的对应的X-LC-Session，核实没写错），还报错删不了： { code: 403, error: "Forbidden to delete by class '_User' permissions." }，终端curl发请求报错是这样：{"code":206,"error":"The user cannot be altered by a client without the session."}

但是我把请求头里的X-LC-Key值换成masterKey就都能删除成功

shifuchen 2021-12-06 09:55:40 UTC #2

用户对象的删除操作只能由用户本身进行，不能由其他用户（包括未登录的用户）进行。这是一个安全方面的考虑。

使用 masterKey 发起删除用户请求时会绕过这个限制，所以如果需要实现允许其他用户删除某一用户的功能，可以考虑将删除用户的代码封装成云函数，然后通过从外部访问这个云函数来完成删除用户的操作。

136975643 2021-12-06 10:00:31 UTC #3

我是使用postman调试接口的，调用你们REST API 的新增用户接口产生的session或者之后用刚新增的用户去调用登录接口也返回相同的session，拿到这个session再去调删除用户接口就报错，这也不算自己删自己吗

shifuchen 2021-12-06 10:10:25 UTC #4

请检查一下 _User 表的权限设置，看一下 delete 是否有设置为「登录用户」或「所有用户」。

136975643 2021-12-06 14:57:27 UTC #5

delete 是 0 Role0 User

shifuchen 2021-12-07 02:05:51 UTC #6

需要先将这个改成「登录用户」或「所有用户」才能进行删除用户操作。

136975643 2021-12-07 03:04:46 UTC #8

内置用户表的delete权限默认设置就是 0 Role0 User吧。我按照您说的改成登录用户确实可以用session不用masetKey也可以删除。除了在应用控制台改这表权限外，有没有代码方式可以改的呢

shifuchen 2021-12-07 03:18:15 UTC #9

考虑到修改 Class 权限的操作通常只会在应用开发过程中（而非日常业务中）用到，LeanCloud 并没有为此提供 REST API。目前只能在控制台修改 Class 权限。

采用 Discourse，启用 JavaScript 以获得最佳效果