[41260]【所有版本】HTTP发送OData请求的权限

登录

本帖最后由 David.Zhong 于 2022-6-23 12:17 编辑

比如我现在有一个应用已经发布了，我在另外一个工程HTTP发送OData请求能直接获取到应用后台的数据信息，只要知道域名跟后台数据表的名称就能获取信息，这个权限怎么控制，安全性如何控制，好像设置了第三方授权也没起作用

如果创建了用户信息视图也能直接获取

David.Zhong · David.Zhong

权限搞起来~

黑色幽默 · 黑色幽默

David.Zhong 发表于 2022-6-20 19:47
权限搞起来~

我把目标应用设置勾选不允许匿名访问数据库，现在是不能在外面获取数据了，但是新问题又来了，现在有什么办法去获取呢。
OAuth认证那个能解决么？大佬指示一下。

黑色幽默 · 黑色幽默

David.Zhong 发表于 2022-6-20 19:47
权限搞起来~

我把目标应用设置勾选不允许匿名访问数据库，现在是不能在外面获取数据了，但是新问题又来了，现在有什么办法去获取呢。
OAuth认证那个能解决么？大佬指示一下。

吴小胖 · 吴小胖

【小胖课堂】别的小朋友有的，我们也要有！WebApi开发实例
https://gcdn.grapecity.com.cn/fo ... 3&fromuid=66072
(出处: 葡萄城产品技术社区)
这个不知道能不能帮到您~

黑色幽默 · 黑色幽默

本帖最后由黑色幽默于 2022-6-21 10:00 编辑

吴小胖发表于 2022-6-21 00:10
【小胖课堂】别的小朋友有的，我们也要有！WebApi开发实例
https://gcdn.grapecity.com.cn/forum.php?mod= ...

大佬，你的贴子我看过，但是好像适用于写服务端命令的API，这个OData请求好像默认就是匿名就能获取数据，我的目标工程里面没有写服务端命令

黑色幽默 · 黑色幽默

不要沉

逛逛逛 · 逛逛逛

黑色幽默发表于 2022-6-21 09:50
大佬，你的贴子我看过，但是好像适用于写服务端命令的API，这个OData请求好像默认就是匿名就能获取数据， ...

那就去写一个服务端命令，让他直接执行SQL。

黑色幽默 · 黑色幽默

逛逛逛发表于 2022-6-21 15:52
那就去写一个服务端命令，让他直接执行SQL。

我的意思是只要知道域名跟你应用后台的数据表名，外部就能直接OData请求获取表的信息，这样不是很不安全？

David.Zhong · David.Zhong

黑色幽默发表于 2022-6-21 16:02
我的意思是只要知道域名跟你应用后台的数据表名，外部就能直接OData请求获取表的信息，这样不是很不安全 ...

大佬，我理解你的点，也非常感谢大佬对活字格的关心哈~
其实昨天看到大佬的问题的时候，我已经给领导反馈了，这个策略在我看来可能会存在一些安全上的风险。我给大佬反馈一下结论。
要想说明白这个问题，还是得从活字格的一些基本的策略开始说起。
活字格本身的表实际上默认有匿名访问的权限，同时我们也可以给活字格的页面可以设置匿名访问权限。
假设如果我们的表的权限设计为默认不可匿名访问，那么格友们在设计匿名访问页面的时候，可能会出现无法访问数据等一系列的问题。
考虑到数据安全问题，活字格本身也在表设置中提供了权限控制，同时包括对单元格和页面的权限控制等。以及全局设置中的是否允许匿名访问数据库。
我们本身是可以有很多方式解决这个问题的。
并且这个基本策略已经使用了这么久，一但修改的话，影响面会比较大。
我目前还在尝试和开发沟通，看有没有可能后续对这个基本策略做一些调整，我会尽我的努力哈~

至于设置了权限之后，无法匿名访问的问题，通过活字格提供的OAuth认证机制，应该也是可以解决的。大佬现在是OAuth认证没有调试通了吗还是？如果是OAuth的问题的话，可以单独发一个帖子，我和大佬一起研究一下~

再次感谢大佬的反馈哈~

		自动登录	找回密码
密码			立即注册

[暂不采纳] [41260]【所有版本】HTTP发送OData请求的权限

本帖子中包含更多资源

19 个回复

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

活字格高级认证

悬赏达人

活字格认证

微信认证勋章

讲师达人

圣诞拼拼乐

时代开发者征文活动