向 ID 与当前用户不匹配的提要添加活动
Adding activities to feeds whose id don't match with the current user
我正在构建类似于 Trello 的东西,人们可以在其中查看通知更新的公告板,我很快意识到用户无法将活动添加到与 uid 不匹配的提要,除非手动配置。 (参见 GitHub 问题:https://github.com/GetStream/react-activity-feed/issues/23)
我明白为什么需要拒绝权限,因为这可能是一个安全问题。但是对于像 Spotify (https://getstream.io/docs/#social-network) 这样的音乐应用程序,用户如何才能将活动添加到 "playlist"?
所以,我的问题是:
- 手动配置会引起任何安全问题吗?
- 如果我们不手动配置,用户如何向"playlist"添加活动?有什么方法可以不在服务器上添加活动吗?
当 feed 类型配置为共享写访问权限时,这意味着任何用户都可以写入该类型的任何 feed。
因此,如果您为共享访问配置了 playlist 提要类型,则用户 A 将被允许对 playlist:B 进行 add/delete 活动,而不是仅允许写入 playlist:A
这是否是一个安全问题取决于您尝试构建的系统。
通过您控制的服务器执行此操作可以确保不允许进行任何无效操作。
对于您的情况,您可以使用关注来获取其他用户的公告板更新到他们的通知源。
我正在构建类似于 Trello 的东西,人们可以在其中查看通知更新的公告板,我很快意识到用户无法将活动添加到与 uid 不匹配的提要,除非手动配置。 (参见 GitHub 问题:https://github.com/GetStream/react-activity-feed/issues/23)
我明白为什么需要拒绝权限,因为这可能是一个安全问题。但是对于像 Spotify (https://getstream.io/docs/#social-network) 这样的音乐应用程序,用户如何才能将活动添加到 "playlist"?
所以,我的问题是:
- 手动配置会引起任何安全问题吗?
- 如果我们不手动配置,用户如何向"playlist"添加活动?有什么方法可以不在服务器上添加活动吗?
当 feed 类型配置为共享写访问权限时,这意味着任何用户都可以写入该类型的任何 feed。
因此,如果您为共享访问配置了 playlist 提要类型,则用户 A 将被允许对 playlist:B 进行 add/delete 活动,而不是仅允许写入 playlist:A
这是否是一个安全问题取决于您尝试构建的系统。
通过您控制的服务器执行此操作可以确保不允许进行任何无效操作。
对于您的情况,您可以使用关注来获取其他用户的公告板更新到他们的通知源。