Mo-Gak-Ko > API 포스트맨 2편

jhj46456·2020년 6월 7일
0

Mo-Gak-Ko

목록 보기
7/18
post-thumbnail

1편에서 Room에 대한 외부접근을 막았던 적이 있습니다.

하지만 끝이 아니었습니다.

두 가지 경우에서 요청이 가능했습니다.

  1. Room에 참가요청을 한 뒤 포스트맨으로 me API 내 pendings 항목에 접근하여 Room에 접근 가능
  2. 알림이 온 Room에 포스트맨으로 me API 내 notifications 항목에 접근하여 Room에 접근 가능

문제

  • pendings
    요청만 걸어놓으면 비공개 정보를 볼 수 있습니다.

  • notifications
    참가요청이 거부 당하거나 강퇴당한 경우에도 접근이 가능합니다.

해결

1편에선 API 자체에 select/include를 해주었지만

지금 이 문제는 Model의 내부에 접근 가능한 속성을 정해줘야 합니다.

  • pendings

  • notifications

📌 참여중인 모임의 관리자가 개설/참여한 모임의 비공개 정보를 볼 수 있던 점도 수정함

이제 포스트맨으로 일어날 수 있는 이슈는 모두 없앴습니다.

profile
리액뚜

0개의 댓글