javascript - 使用 alanning:roles 构建流星应用程序中的角色管理

Question

我需要一些建议来在我的流星应用程序中构建正确的角色架构和管理。

结构

• 我alanning:roles@1.2.13用于向应用程序添加角色管理功能。
• 有四种不同的用户类型：管理员、编辑、专家和用户。
• 此外，还有几个具有不同内容的模块，即汽车、数学和图像。每个模块都组织在一个自己的流星包中。
• 在每个模块中都有几个类别，可以由编辑器动态添加。

模块中的类别

模块结构如下：

elementSchema = new SimpleSchema({ 
    element:    {type: String, optional: true}
});

Cars.attachSchema(new SimpleSchema({
    title:      { type: String },
    content:    { type: String },
    category:   { type: [elementSchema], optional: true },
});

如您所见，所有可用的类别都在模块的 Collection 中。

权利

• 管理员：完整权限
• 编辑器：可以编辑选定模块中的元素（即 editor_1 可以编辑汽车和图像中的元素，但不能编辑数学）
• 专家：可以获得完整模块的权限或仅对模块的某些类别的权限（即）expert_1可以编辑图像，但只能编辑汽车中“本田”和“梅赛德斯”类别中的元素；没有编辑数学）
• 用户：没有编辑

这就是我在技术上进行身份验证的方式：

路由器.js

var filters = {
    authenticate: function () {
        var user;
        if (Meteor.loggingIn()) {
            this.layout('login');
            this.render('loading');
        } else {
            user = Meteor.user();
            if (!user) {
                this.layout('login');
                this.render('signin');
                return;
            }
            this.layout('Standard');
            this.next();
        }
    }
}
Router.route('/car/:_id', {
    name: 'car',
    before: filters.authenticate,
    data: function () {
        return { 
            cars: Cars.findOne({ _id: this.params._id }) 
        };
    }
});

模板

<template name="car">
    {{#if isInRole 'cars'}}
        Some form for editing
    {{else}}
        <h1>Restricted area</h1>
    {{/if}}
</template>

我把这个 router.js 放到每个包中。唯一的变化是使用每个包（汽车、数学、图像）的集合的数据函数。

更新：正如“Eliezer Steinbock”所说，有必要限制对 mongoDB 本身的访问。但到目前为止，我只在路线上这样做。

权限.js

Cars.allow({
    insert: function(userId) {
        var loggedInUser = Meteor.user()
        if (loggedInUser && Roles.userIsInRole(loggedInUser, ['admin','editor'])) return true;
    },
    update: function(userId) {
        var loggedInUser = Meteor.user()
        if (loggedInUser && Roles.userIsInRole(loggedInUser, ['admin','editor'])) return true;
    }
});

我的问题

1）我的第一个问题是如何使用角色和组。使用组的最佳方式是什么？第二个问题是，模块中没有固定的类别。现在我不知道有用的角色/组模式。

2）我如何检查角色？因为有不同的角色可以获得访问权限：管理员、编辑和专家。我也遇到了这些专家的问题，他们只是可以访问该模块的定义类别。

3) 让permission.js 更通用不是更好吗？我的意思是，是否可以创建一个动态函数，所以我不必在任何地方都放置相同的代码？如何以有用的方式实现 permission.js 中的角色？

Answer 1

如果权限的逻辑相同，您可以在 permissions.js 中定义一次

App = App || {}; // We are using Namespaces, so you don't have to.. but it's good
App.Permissions = {
    insert: function(userId) {
        var loggedInUser = Meteor.user()
        if (loggedInUser && Roles.userIsInRole(loggedInUser, ['admin','editor'])) return true;
    },
    update: function(userId) {
        var loggedInUser = Meteor.user()
        if (loggedInUser && Roles.userIsInRole(loggedInUser, ['admin','editor'])) return true;
    }
}

然后你可以将它用于你的收藏：

Cars.allow(App.Permissions); // Or
Cars.allow(App.Permissions.getPermissionsForGroup('cars'))

在某处定义角色..

角色

// Give user the role "editor" in "cars" group
Roles.addUsersToRoles(someUserId, ['editor'], 'cars');
Roles.addUsersToRoles(someOtherId, ['admin'], 'cars');

您可以像这样在 permissions.js 中准备：

权限

App = App || {}; 
App.Permissions = {
 insert: function(userId) {...},
 update: function(userId) {...},
 getPermissionsForGroup: function(group) {
    return {
       insert: function(userId, doc) {
          // Only admin can insert
          return Roles.userIsInRole(userId, "admin", group);
       },
       update: function(userId, doc, fields, modifier) {
          // Editor & Admin can edit
          return Roles.userIsInRole(userId, ["editor","admin"], group);
       },
       remove: function(userId, doc) {
          // Only admin can remove
          return Roles.userIsInRole(userId, "admin", group);
       }
    }    
}

在这个例子admins中可以插入和更新..并且editors只能更新，但是插入。

关于 alanning:roles 的文档，您可以像这样定义和使用角色：

// Super Admin definition..
Roles.addUsersToRoles(superAdminId, ['admin'], Roles.GLOBAL_GROUP);

Roles.addUsersToRoles(joesUserId, ['manage-team','schedule-game'], 'manchester-united.com')
Roles.addUsersToRoles(joesUserId, ['player','goalie'], 'real-madrid.com')

Roles.userIsInRole(joesUserId, 'manage-team', 'manchester-united.com')  // => true
Roles.userIsInRole(joesUserId, 'manage-team', 'real-madrid.com')  // => false

是的，请确保权限逻辑将包含在您的 Collection 定义之前.. 显然:)