Активы на WSO2 ES извлекаются по прямому URL без контроля доступа.
Несмотря на то, что разрешения не назначаются анонимным пользователям, если у пользователя есть URL-адрес ресурса, любой, кто знает этот URL-адрес, может загрузить ресурс.
Есть ли план по внедрению контроля доступа к активам?
Это похоже на ошибку, так как права доступа должны проверяться перед обслуживанием ресурса. Список разрешенных ролей указан в конфигурационных файлах, находящихся в папке ext/config/. Пример его использования можно найти в /store/config/ext/gadget.json;
"storage": {
"images_banner": {
"lifecycle": {
"created": ["private_{overview_provider}"],
"in-review": ["reviewer", "private_{overview_provider}"],
"published": ["Internal/everyone", "private_{overview_provider}", "reviewer","anon"],
"unpublished": ["private_{overview_provider}"]
}
},
"images_thumbnail": {
"lifecycle": {
"created": ["private_{overview_provider}"],
"in-review": ["reviewer", "private_{overview_provider}"],
"published": ["Internal/everyone", "private_{overview_provider}", "reviewer","anon"],
"unpublished": ["private_{overview_provider}"]
}
}
}
Я зарегистрировал JIRA для этой проблемы [1], и мы исправим ее в следующем выпуске.
[1] https://wso2.org/jira/browse/STORE-383
Спасибо, Самира
