我们有一个应用程序,它有两种类型的用户.根据用户登录的方式,我们希望他们能够访问应用程序的不同部分.
我们如何实现一个安全模型来防止用户看到他们无法访问的东西?
我们是否将安全性作 for each 路由实施的一部分?问题是,我们在请求之间会有一些重复的逻辑.我们可以将其转移到助手函数中,但我们仍然需要记住调用它.
我们是否将安全性作为全球应用程序的一部分.所有()路由处理程序?问题是,我们必须判断每条路由,并根据大量规则执行不同的逻辑.至少所有代码都在一个地方,但是...所有代码都在一个地方.
每一条路由都有它通常对我有用.这是我通常做的:
function requireRole (role) {
return function (req, res, next) {
if (req.session.user && req.session.user.role === role) {
next();
} else {
res.send(403);
}
}
}
app.get("/foo", foo.index);
app.get("/foo/:id", requireRole("user"), foo.show);
app.post("/foo", requireRole("admin"), foo.create);
// All bars are protected
app.all("/foo/bar", requireRole("admin"));
// All paths starting with "/foo/bar/" are protected
app.all("/foo/bar/*", requireRole("user"));