api로 게시판 목록 조회시 권한이 없어도 게시물 내용이 조회가 됩니다.

매출이 오르면 내리는 수수료! 지금 수수료센터에서 전자결제(PG)수수료 비교견적 신청해 보세요!
api로 게시판 목록 조회시 권한이 없어도 게시물 내용이 조회가 됩니다.

QA

api로 게시판 목록 조회시 권한이 없어도 게시물 내용이 조회가 됩니다.

본문

읽기 권한을 2이상으로 설정한 게시판의 게시물을 /api/v1/boards/board_id/writes/1 로 조회하면 

{"detail":"글을 읽을 권한이 없습니다."}
처럼 권한이 체크되서 게시물이 조회가 안되는데, /api/v1/boards/board_id/writes?page=1 처럼 목록을 조회하면 각 게시물 목록 뿐만 아니라 내용까지 모두 조회되서 wr_subject, wr_content 등을 통해 본문이 그대로 보입니다.

 

그누보드 버전은 gnuboard6.0.10 입니다.
이슈 게시판에 글을 써보려고 했더니 권한이 없다고 나오는데 권한 요청드려도 되나요?

이 질문에 댓글 쓰기 :

답변 3

목록보기 권한도 체크하셔야 할 듯 합니다.

제가 테스트했을때에는 "목록을 볼 권한이 없습니다." 메시지와 함께 403 에러가 발생했습니다.

아마 로그인한 상태에서 /docs 스웨거 UI를 통해 요청하셨을 것 같습니다.

 

소스를 보니 특이한 점이 있습니다.

보통 REST api는 사용자 인증(userid, password)후 Token을 발급받아 매 API 요청시 권한을 검사합니다.

 

그런데 현재 ListPostServiceAPI class 구현은 이러한 token 검사 과정이 없습니다

그럼에도 불구하고 위 403 에러가 발생하는 이유는 ListPostServiceAPI가 상속받은

부모 클래스(ListPostService class)에서 is_list_level() 함수를 통해 로그인한 사용자 세션 정보(member)를

가져와 권한을 체크하고 있기 때문입니다.

 

ListPostServiceAPI 는 '로그인 세션을 통한 member정보 획득 방식'이 아닌, 토큰을 통한 member정보를

가져와서 list요청에 대한 권한을 검사하도록 구현이 필요할 것 같습니다.

 

is_possible_level() 이라는 함수가 이미 존재하는 것으로 보아 이런 목적을 위해 선행 구현해놓으신 것이 아닌가 생각이 듭니다.

 

답변을 작성하시기 전에 로그인 해주세요.
전체 227
QA 내용 검색

회원로그인

(주)에스아이알소프트 / 대표:홍석명 / (06211) 서울특별시 강남구 역삼동 707-34 한신인터밸리24 서관 1404호 / E-Mail: admin@sir.kr
사업자등록번호: 217-81-36347 / 통신판매업신고번호:2014-서울강남-02098호 / 개인정보보호책임자:김민섭(minsup@sir.kr)
© SIRSOFT