1

我想为数据库中的文档实现一个简单的“已发布”字段。

例如,如果用户未通过身份验证,我希望始终在查询中插入 { published: true } 以获取所有查找/获取请求,因此它将仅返回已发布的文档(在前端有用)

但是,如果用户已通过身份验证并具有所需的角色,我想返回所有文档,而不仅仅是已发布(在管理员中很有用)。

所以我试图创建一个前钩子:

//assignQuery.hook.js

const { some } = require('lodash');

const defaultOptions = {
  rolesField: 'roles',
  query: {},
  allowRoles: []
};
module.exports = function (options) {
  return async context => {

    options = Object.assign({}, defaultOptions, options);

    // If it was an internal call then skip this hook
    if (!context.params.provider) {
      return context;
    }

    const { user } = context.params;

    // Return unchanged context if user have some "allowRoles"
    if (user && options.allowRoles && options.allowRoles.length && some(options.allowRoles, (role) => {
      return (user[options.rolesField] || '').includes(role);
    })) return context;

    // else assign query filter
    context.params.query = Object.assign({}, context.params.query, options.query);

    return context;
  };
};

// service.hooks.js

module.exports = {
  before: {
    all: [],
    find: [
      assignQuery({ query: {published:true}, allowRoles: ['admin', 'edit'] }),
    ],
    get: [
      assignQuery({ query: {published:true}, allowRoles: ['admin', 'edit'] }),
    ],
    create: [ 
      authenticate('jwt'), 
      restrictToRoles({ roles: ['admin', 'edit']}),
    ],
    update: [ 
      authenticate('jwt'), 
      restrictToRoles({ roles: ['admin', 'edit']}),})
    ],
    patch: [ 
      authenticate('jwt'), 
      restrictToRoles({ roles: ['admin', 'edit']}),
    ],
    remove: [ 
      authenticate('jwt'),
      restrictToRoles({ roles: ['admin', 'edit']})
    ]
  },

};

问题是我必须对用户进行身份验证才能获得他的角色,因此如果用户未通过身份验证,服务将发送未经授权的错误,而不是允许过滤查询的响应。

所以我必须在assignQuery之前调用authenticate。在这种情况下,管理员可以正常工作,但前端未经授权的用户无法检索已发布的文章。

如果我在 assignQuery 之前不进行身份验证,它在前端工作正常,未经授权的用户只能看到已发布的文章,但在管理员中不再工作,管理员也将始终只收到已发布的文章,因为在 assignQuery 挂钩中, context.params.user 未定义(因为我们之前没有进行身份验证......)

所以我需要一种方法来检查用户是否经过身份验证,但如果他未经授权,则不要向他发送未经授权的错误,我只想发送修改后的查询的响应。

我想我需要这样的东西:

before: {
    all: [],
    find: [
      unless(isAuthenticateAndHaveRoles({roles:['admin', 'edit']}), 
        assignQuery({ query: {published:true} })
      )
    ],
    ...

但我不知道如何进行“无阻塞”身份验证或 isAuthenticate 钩子。可能吗?

我希望我的解释不会那么混乱,目标只是为我的文档实现一个已发布/草稿(可见/隐藏)(在线/离线)字段。

欢迎任何帮助。太感谢了!

4

1 回答 1

2

对于 Feathers v4 及更高版本,您可以使用匿名身份验证策略。

对于 v3 及更早版本,该authenticate钩子有一个当前未记录的allowUnauthenticated选项,如果设置为true,则仅添加一个params.authenticated标志。所以

find: [
  authenticate('jwt', {
    allowUnauthenticated: true
  }),
  assignQuery({ query: {published:true}, allowRoles: ['admin', 'edit'] }),
]

应该这样做。

于 2018-08-15T08:04:46.177 回答