我正在研究在 nodejs express 服务器上进行授权的解决方案。我通过检查 ID 令牌值来检查用户是否有权访问特定访问组并查看该组名是否存在,从而获取登录用户的角色信息。我必须通过允许某些用户角色访问特定端点来根据用户角色执行授权。
可以实现这一点的最佳授权 npm 模块或技术是什么?
我已经搜索了很多,比如 casl 等,但似乎有很多方法,这只是在混淆栏上。任何帮助将不胜感激!
问问题
82 次
1 回答
0
任何类型的权限管理都是关于用户可以对存储在 db 中的数据做什么。
这就是为什么,我建议定义资源/模型/表的权限。您可以将多个权限分组到一个角色下。这就是您获得 RBAC 的方式。
要获取更多详细信息,请查看以下示例:
如果这太令人困惑,只需使用 http 关键字(get/post/etc)作为操作和req.url主题。所以,最终你会得到类似的东西:
app.use((req, res, next) => {
const ability = defineUserAbility(req.user);
if (ability.can(req.method, req.url)) {
next()
} else {
res.status(403).end()
}
})
于 2021-01-15T20:17:26.140 回答