LoopBack中的訪問控制

Question

我正在基於StrongLoop API平臺爲我的客戶構建一個事件管理Web應用程序，因此我需要限制對當前登錄的用戶（客戶端）的數據的CRUD訪問。

我已經按照這些教程https://github.com/strongloop/loopback-faq-user-management,https://github.com/strongloop/loopback-example-access-control成功登錄和註銷，現在需要實現在AngularJS客戶端上恢復正確的數據。

我已經建立了關係，在我的「事件」的模式如下：

"relations": { 
    "user": { 
    "type": "belongsTo", 
    "model": "User", 
    "foreignKey": "ownerId" 
    } 
} 

，並在內置的用戶模型：

"relations": { 
    "events": { 
    "type": "hasMany", 
    "model": "event", 
    "foreignKey": "ownerId" 
    } 
} 

不知道在哪裏/如何定義訪問令牌登錄後進行API調用。我是否還需要在$scope.events = Event.find();上應用過濾器來檢索ownerID: <currentUserId>或ACL應該達到的記錄？

任何幫助非常讚賞。

Answer 1

1）訪問令牌自動保存到localStorage/sessionStorage和angular-sdk內部。因此它附加到API的每個請求的authorization標頭上。

2）是的，你應該應用過濾器，因爲ACL只是允許或拒絕訪問遠程方法。順便提一句，查詢用戶事件的另一種方式是

User.events({id: currentUserId})