我发现了很多关于权限/基于角色的授权的帖子.然而,我正在寻找一种优雅的方式或任何bast实践来返回属于特定用户的数据/资源?
例如:我希望http://localhost:3000/transactions不会返回所有事务,仅返回属于发起请求的经过身份验证的用户的事务.
我的简单/手动解决方案?每个事务项都有user_id个字段,因此我可以编写中间件来解码jwt令牌,并从令牌中获取user_id,并将其公开给request对象(即request.user_id = user_id from the token).对于每个路由(如事务),我可以取request.user_id并将其添加到查询中.
我想知道,在express/node中处理这个问题的最佳解决方案是什么.js应用程序?图书馆服务软件即服务