Moralis Web3 企业级API Moralis 其他对象的安全性

2024-02-26 开发教程 Moralis Web3 企业级API 匿名 3

适用于 ​Moralis.User​ 的相同安全模型可以应用于其他对象。 对于任何对象,您可以指定允许哪些用户读取和/或修改该对象。 为了支持这种类型的安全性,每个对象都有一个访问控制列表,由 ​Moralis.ACL​ 类实现。

使用 ​Moralis.ACL​ 的最简单方法是指定对象只能由单个用户读取或写入。 这是通过使用 ​Moralis.User​ 初始化 ​Moralis.ACL​ 来完成的:​new Moralis.ACL(user)​ 生成一个 ​Moralis.ACL​,限制对该用户的访问。 与任何其他属性一样,保存对象时会更新对象的 ​ACL​。 因此,要创建一个只能由当前用户访问的私人笔记:

const Note = Moralis.Object.extend("Note");
const privateNote = new Note();
privateNote.set("content", "This note is private!");
privateNote.setACL(new Moralis.ACL(Moralis.User.current()));
privateNote.save();

然后,只有当前用户可以访问此注释,尽管该用户登录的任何设备都可以访问它。此功能对于您希望跨多个设备访问用户数据的应用程序很有用,例如个人待办事项。

也可以按用户授予权限。 您可以使用 ​setReadAccess ​和 ​setWriteAccess ​将权限单独添加到 ​Moralis.ACL​。 例如,假设您有一条消息将发送给由多个用户组成的组,其中每个用户都有权阅读和删除该消息:

const Message = Moralis.Object.extend("Message");
const groupMessage = new Message();
const groupACL = new Moralis.ACL();
// userList is an array with the users we are sending this message to.
for (let i = 0; i < userList.length; i++) {
groupACL.setReadAccess(userList[i], true);
groupACL.setWriteAccess(userList[i], true);
}
groupMessage.setACL(groupACL);
groupMessage.save();

您还可以使用 ​setPublicReadAccess ​和 ​setPublicWriteAccess ​一次向所有用户授予权限。 这允许在留言板上发表评论等模式。 例如,要创建一个只能由其作者编辑但任何人都可以阅读的帖子:

const publicPost = new Post();
const postACL = new Moralis.ACL(Moralis.User.current());
postACL.setPublicReadAccess(true);
publicPost.setACL(postACL);
publicPost.save();

被禁止的操作(例如删除您没有写入权限的对象)会导致 ​Moralis.Error.OBJECT_NOT_FOUND​ 错误代码。 出于安全目的,这可以防止客户端区分哪些对象 ID 存在但受到保护,哪些对象 ID 根本不存在。