获得正确的允许条件字段

【问题标题】:Getting the right permitted fields of conditions获得正确的允许条件字段
【发布时间】:2020-11-17 17:21:12
【问题描述】:

目前,我正在构建一个具有以下类似逻辑的应用程序:

...
const user = {
  isAdmin: true,
  company: '5faa6a847b42bf47b8f785a1',
  projects: ['5faa6a847b42bf47b8f785a2']
}

function defineAbilityForUser(user) {
  return defineAbility((can) => {
    if (user.isAdmin) {
      can('create', 'ProjectTime', {
          company: user.company,
        }
      );
    }
    
    can(
      'create', 
      'ProjectTime', 
      ["company", "project", "user", "start", "end"], 
      {
        company: user.company,
        project: {
          $in: user.projects
        }
      }
    );
  });
}

const userAbility = defineAbilityForUser(user); //
console.log( permittedFieldsOf(userAbility, 'create', 'ProjectTime') );

// console output: ['company', 'project', 'user', 'start', 'end']

基本上应该允许admin 创建一个没有字段限制的项目时间。 并且none admin 用户应该只被允许为他所属的项目设置指定的字段。

问题是我希望得到[] 作为输出,因为应该允许admin 设置项目时间的所有字段。

我找到的唯一解决方案是将所有字段设置为 admin 用户条件。但这需要稍后在将新字段添加到项目时间模型中时进行大量迁移工作。 (在我的情况下,也无法将第二个条件包含在 else 块中)

还有其他更好的方法吗?或者,如果permittedFieldsOf-function 会优先考虑没有字段限制的条件会更好吗?

【问题讨论】:

    标签: casl


    【解决方案1】:

    实际上,casl 无法知道模型上下文中所有字段的含义。它对它们的形状几乎一无所知,并依赖于您提供的条件来稍后检查对象。所以,它没有完整的信息。

    您需要做的是传递第四个参数来覆盖fieldsFrom 回调。检查api docs@casl/mongoose 中的参考实现

    在 casl v5 中,该参数是必需的。所以,这种混乱很快就会消失

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2015-08-25
      • 1970-01-01
      • 2017-03-14
      • 2015-02-12
      • 2016-06-12
      • 2014-02-28
      • 2020-12-31
      • 2017-02-21
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode