比如一个开放的录入(漂流瓶),但有一个字段表示审核,则该字段只能由管理员操作。
客户端在创建的时候应当是默认值,且不能修改。其他字段是 Public。
18年1月30日
18年1月30日
你好,可以在控制台字段的编辑选项中设置权限为「只读」。管理员可以在控制台操作这个字段。
在创建的时候,只读字段客户端可以设置默认值吗?
在客户端创建对象的时候,不要给只读字段赋值,该字段就会设置为默认值。之后在客户端无法更新该字段的值。
比如 state 字段默认值为 0, 但创建时候如果创建 1 ,可以创建成功吗?
在创建数据的时候,如果给这个字段赋值了,是可以修改默认值的。
我不太明白这个需求,如果想让一个字段为默然值,为什么还要赋给其他值?在客户端不要对这个只读字段赋值,就可以实现上面的需求了。
需求是只想建一张表(Class)来完成这个简单的应用。类似漂流瓶,所有人都能发布,但只有经过审核了才能被查询。
但是我无法控制前端的代码,代码基本都是等于送人的,没有什么安全性可言。所以是存在这样的后门可以利用吗?
建议您阅读 ACL 权限管理开发指南7 文档,在创建对象的时候为对象设置角色的访问权限。
@xiaoxu 没有看到针对单个列(字段)处理的相关说明
没有针对「列」的 ACL权限,可以为「对象」设置角色的访问权限。
如果您的需求一定要修改「列」的权限,上面已经提到过了,列的编辑界面有「只读」选项。
我的建议是在客户端创建对象的时候,不要暴漏只读字段,该字段就会设置为默认值。由于只读性,后面是无法更新修改该字段的,这样是可以保证安全性的。至于您上面提到的「可利用的后门」我就不太清楚了。
| 主题 | 分类 | 回复 | 浏览 | 活动 |
|---|---|---|---|---|
| 【已解决】关于用户注册无法判断用户存在的问题 | 数据存储 | 5 | 2.4K | 19-07-21 |
| 更新用户资料后同步更新本地缓存 | 数据存储 | 2 | 801 | 22-04-1 |
| class里面怎么修改列的类型 | 数据存储 | 24 | 4.2K | 18-01-31 |
| role.getUsers().add(xxx).save()权限问题 | 数据存储 | 13 | 2.4K | 17-12-10 |
| API域名绑定一直失败 | 数据存储 | 2 | 745 | 20-12-1 |
