StrongLoop AccessTokenの作成が​​公開用の場合

Question

他のユーザーのユーザーIDとURL（<host>/api/AccessTokens/create）を知りたい場合は、そのユーザーのアクセストークンを取得し、その操作を偽装できます。私は正しい？デフォルトのLoopBack ProjectからAccessTokenモデルの標準ACLを探します。リフレッシュトークンの代わりに上記のメソッドを使用しています。もっと良い方法はありますか？

"acls": [ 
    { 
     "principalType": "ROLE", 
     "principalId": "$everyone", 
     "permission": "DENY" 
    }, 
    { 
     "principalType": "ROLE", 
     "principalId": "$everyone", 
     "property": "create", 
     "permission": "ALLOW" 
    } 
    ] 

Answer 1

お使いのモデルの設定ファイルをチェックし、AccessTokenクラスの公共偽を設定します。

"AccessToken": { 
    "dataSource": "db", 
    "public": false 
    }, 

AccessTokenは、APIのを介して公開すべきではない、それだけでユーザモデルによって内部的に使用する必要があります。