我有一个基于用户模型-客户的模型
当我直接查询这个模型时,它给出错误"Authorization Required"
。这是所期望的。
但当我在产品查询中包括客户时(如{"include":["customer"]}
)
我用用户的电子邮件得到了几乎整个客户模型实例。
我想对任何查询产品的人隐藏电子邮件,只提供用户名和用户id。
我可以用操作钩子或远程钩子删除发送到客户端的数据
有没有办法限制model.json或hooks-only方法的数据访问?
如果要隐藏某些属性,当对象嵌套在相关模型的HTTP响应中时,请在模型定义文件中使用受保护的属性。
环回文档示例:
common/models/customer.json
...
"properties": {
...
"email": {
"type": "string",
"required": true
},
...
"protected": ["email"],
...
如果要在相关模型上应用ACL,则需要分别指定它们。请参阅LoopBack文档的访问相关模型部分。