Node.js 我如何保护nodejs中的路由

发布于03月13日

请告诉我如何才能只允许管理员访问特定的路径

这是我的MongoDB数据库

{
  "_id": {
    "$oid": "640e16b3186c0b1910c1dedf"
  },
  "isAdmin": true,
  "name": "sample name",
  "email": "bb@gmail.com",
  "password": "$2a$10$tbi9fblLS9NXai3Osb7H7OdLVqq34I0OTKgvB5BmVBEASabvX/ybu",
  "__v": 0
}

IsAdmin设置为True我希望admin是唯一可以访问此路由的人

router.post(`/categories`, async (req, res) => {
  if(req.body.isAdmin){
try {
    let category = new Category();
    category.type = req.body.type;
    category.description = req.body.description;

    await category.save();
    res.json({
      status: true,
      message: "save succes"
    });
  } catch (error) {
    res.status(500).json({ success: false, message: error.message });
  }}
  else{
    console.log("auth")
  }
});

每次我try 上面的代码时，它都会跳过if语句并转到Else

推荐答案

更好的方法是创建一个用于判断isAdmin的中间件，并将该中间件放在您希望仅由admin访问的路径上.

在您的路径文件中，从MidleWare文件夹导入中间件，并将其应用于您想要保护的路径.

如下所示:

Middleware个

module.exports = (req, res, next) => {
  if (!req.body.isAdmin) {
    return res.status(401).json({ success: false, message: "Sorry, you need admin access for this route" })
  }
  next()
}

Route个

const isAdmin = require("./middlewares/isAdmin")

router.post(`/categories`, isAdmin, async (req, res) => {
    try {
      let category = new Category();
      category.type = req.body.type;
      category.description = req.body.description;

      await category.save();
      res.json({
        status: true,
        message: "save succes"
      });
    } catch (error) {
      res.status(500).json({ success: false, message: error.message });
    }
});

通过这种方式，您可以将该中间件重用于多个路由，并且不需要重复代码来判断每个控制器函数上是否有isAdmin个.

Note:如果isAdmin密钥不在请求正文中或为假，则中间件将返回状态401.