0

我正在尝试根据用户的权限授权用户。使用 createParamDecorator 和 CanActivate 方法在功能上有什么区别吗?

export const GetUser = createParamDecorator((data: string, ctx: ExecutionContext) : User => {

  const request = ctx.switchToHttp().getRequest();
  const user  = request.user;
  const permissions = user.permissions
  for(var i = 0; i < permissions.length; i++){
      if(permissions[i].name === data)
         return user;
  }
  throw new NotFoundException()})
4

1 回答 1

1

这些绝对不是等效的方法,不应被视为等效方法。这createParamDecorator应该是告诉 Nest 如何注入自定义值的简单方法(例如req.user,而不是必须做@Req() { user })。它从来都不是用来授权的,虽然你可以,但它很可能会导致非常奇怪的堆栈跟踪。

另一方面,警卫是为请求的身份验证和授权而设计的。您可以在处理程序上设置元数据(例如允许哪些角色),使用 读取它们Reflector,然后应用请求是否有效的条件逻辑。您还可以在守卫上使用依赖注入来添加诸如数据库连接之类的内容,并通过 ID 从数据库中获取完整用户,这在createParamDecorator.

最后,在守卫中,你可以抛出任何你想要的错误,或者你可以false通过 Nest 的设计返回并取回 403。

功能上有什么不同吗...?

如前所述,依赖注入。在我看来,测试守卫也更容易。但这就是我。

于 2021-05-28T22:36:04.777 回答