Używam filtru, aby zastosować uprawnienia na poziomie obiektu do kolekcji. Zasoby w drugiej kolekcji mają związek wiele do wielu z pierwszymi. W interfejsie API do przeglądania, podczas tworzenia zasobów w drugim zbiorze, użytkownik otrzymuje listę zasobów od pierwszego, z którym ma zostać połączona. Ta lista nie jest jednak filtrowana, więc użytkownik może zobaczyć wartości, których nie powinien widzieć.Filtrowanie opcji formularza widocznych w interfejsie API do przeglądania
Poświęciłem trochę dokumentacji i źródła i nie widzę sposobu, aby dodać filtrowanie do kwerendy, która generuje wybory bez przeciążania lub modyfikowania garść kodu do przekazywania danych żądania (prawdopodobnie usunięcie niektórych z nich kolekcja konkretnych danych w drodze), a następnie zastosować filtry.
Czy jest lepszy sposób na osiągnięcie tego?
Naprawdę uważam, że jest to wada bezpieczeństwa. Sugeruję więc: nie używaj interfejsu API do przeglądania w środowiskach produkcyjnych. – gabn88