主要有 posts 和 comments 两个表。(还有个 users 表,不过权限限得很死)
用户只能删除由自己创建的 post (if post.created_by == .id),没毛病。(comment 同理)
但是它没有限制用户 update 别人的 post 或 comment,所以可以把别的 post/comment 的 created_by 改成自己。然后就能删任意帖子了。
——
用 PostgREST 这类中间件,让客户端直通数据库时要注意权限设计啊!毕竟没有传统意义上的“后端”来隔离客户端与数据库了。
用户只能删除由自己创建的 post (if post.created_by == .id),没毛病。(comment 同理)
但是它没有限制用户 update 别人的 post 或 comment,所以可以把别的 post/comment 的 created_by 改成自己。然后就能删任意帖子了。
——
用 PostgREST 这类中间件,让客户端直通数据库时要注意权限设计啊!毕竟没有传统意义上的“后端”来隔离客户端与数据库了。