当前的授权模型只允许指定我们允许所有者执行的操作。有没有办法以某种方式指定我们甚至不允许该记录的所有者在创建后能够执行的操作。
我也想知道。正如 Will 所说,您可以省略您希望禁止所有者的操作,但是如果该操作未在任何地方列出,那么我认为所有经过身份验证的用户都可以访问它?如果我理解正确,那么我一个解决方案可能是创建一个组"禁止"并分配该组删除操作,该操作应阻止所有者和所有经过身份验证的用户使用删除操作。
@auth(rules: [
{ allow: owner, operations: [create, update, read] },
{ allow: groups, groups: ["Forbidden"], operations: [delete] }
])
您可以省略要禁止的操作,例如禁止删除:
@auth(rules: [{ allow: owner, operations: [create, read, update] }]) { ... }