[41260]【所有版本】HTTP发送OData请求的权限

比如我现在有一个应用已经发布了，我在另外一个工程HTTP发送OData请求能直接获取到应用后台的数据信息，只要知道域名 跟后台数据表的名称就能获取信息，这个权限怎么控制，安全性如何控制，好像设置了第三方授权也没起作用


如果创建了用户信息视图也能直接获取

如果设置了支持匿名访问数据库，OData本身确实是支持获取数据的，其他方法也能获取数据，例如GetTableRowData。这本身是匿名的问题，和OData无关。
如果你可以接受不允许匿名访问数据库，在设置中开启【不允许匿名访问数据库】即可：

大概了解了，我调查一下这个问题，有结果回来给你反馈

Simon.hu 发表于 2024-1-17 17:17
我不知道我是不是漏掉什么，我先大概说一下我看到的信息哈
发送http请求的方式搞OData，有2种情况
>>前端 ...

服务端命令发HTTP请求可以控制服务端命令的权限，但是我如果不用服务端命令发送请求就无法控制了，比如我用API-Post工具发http请求就能直接获取到相关表的数据了

我不知道我是不是漏掉什么，我先大概说一下我看到的信息哈
发送http请求的方式搞OData，有2种情况
>>前端命令   （只要你设置了权限就会是权限过滤后的信息）
>>服务端命令（根本不管权限，只要是服务端调用就是都能得到；如果你要权限的话，请设置服务端命令的权限）

大佬的这个怎么看都感觉是服务端命令搞的ODATA，所以这些表现都是正常的，而且你要的权限控制是完全可以搞定的啊

David.Zhong 发表于 2022-6-23 12:16
已加需求~需求编号：41260。

黑色幽默 发表于 2022-6-23 08:51
看来目前没有直接能控制这个OData权限的入口，直接全局设置不允许匿名访问数据库好像也不太现实，建议你 ...

已加需求~需求编号：41260。

David.Zhong 发表于 2022-6-22 18:29
oauth认证的作用域不一定包含了odata，
还有一个方式是通过单点登录来解决这个事情，本质上是需要一个权限 ...

看来目前没有直接能控制这个OData权限的入口，直接全局设置不允许匿名访问数据库好像也不太现实，建议你们后续增加这么一个接口

oauth认证的作用域不一定包含了odata，
还有一个方式是通过单点登录来解决这个事情，本质上是需要一个权限。