我们的应用程序有两种类型的用户。根据用户的登录方式,我们希望他们能够访问应用程序的不同部分。
我们如何实施安全模型以防止用户看到他们无权访问的内容?
我们是否将安全性作为每个路由实施的一部分?问题是我们将在请求之间有一些重复的逻辑。我们可以将它移到辅助函数中,但我们仍然需要记住调用它。
我们是否将安全性作为全局 app.all() 路由处理程序的一部分?问题是我们必须检查每条路线并根据大量规则执行不同的逻辑。至少所有代码都在一个地方,但是……所有代码都在一个地方。
【问题讨论】:
每条路线都有它通常对我有用。这是我通常做的:
function requireRole (role) {
return function (req, res, next) {
if (req.session.user && req.session.user.role === role) {
next();
} else {
res.send(403);
}
}
}
app.get("/foo", foo.index);
app.get("/foo/:id", requireRole("user"), foo.show);
app.post("/foo", requireRole("admin"), foo.create);
// All bars are protected
app.all("/foo/bar", requireRole("admin"));
// All paths starting with "/foo/bar/" are protected
app.all("/foo/bar/*", requireRole("user"));
【讨论】:
requireRole 取一个数组吗?并与indexOf联系。
现在有 Node 模块 permission 用于此。它非常易于使用,与公认的答案非常相似,但仍添加了一些功能。
【讨论】:
查看this list 了解 NodeJS ACL/权限系统。恕我直言OptimalBits node_acl 看起来最好。
【讨论】:
你可以在everyauth中使用ability-js,这和CanCan for Rails很相似https://github.com/scottkf/ability-js
【讨论】: