Rollenbasierte Autorisierung mit exress-jwt?

Question

Ich verwende Express-JWT, um meinen API-Endpunkt zu schützen, sodass nur authentifizierte Benutzer auf meine APIs zugreifen können. Jetzt möchte ich auch meine APIs basierend auf der Rolle des Benutzers schützen. Zum Beispiel kann der Benutzer nur auf einige APIs zugreifen, wenn sie Admin sind, einige andere, wenn sie Super Admin sind, usw. Wie kann ich das erreichen? Ich fand in Express-jwt Github doc diesen Code-Schnipsel:

app.get('/protected', 
    jwt({secret: 'shhhhhhared-secret'}), 
    function(req, res) { 
    if (!req.user.admin) return res.sendStatus(401); 
    res.sendStatus(200); 
    }); 

Es sieht aus wie dieser Code Berechtigung in API-Controller-Funktion zu tun ist. Ist es der einzige und empfohlene Weg? Gibt es bessere Möglichkeiten, dies zu tun? Irgendwelche Tipps zu Best Practices dafür?

Answer 1

Ist es der einzige und empfohlene Weg?

ziemlich viel, yeah.

Dies ist jedoch keine "Controller-Funktion". Dies ist ein Beispiel für Middleware, die Sie in diesem Fall verwenden möchten.

ein vollständigeres Beispiel wäre:

var router = new express.Router(); 

// process jwt stuff 
var processjwt = jwt({secret: 'shhhhhhared-secret'}); 

// authorization check 
function authorizationCheck(req, res, next) { 
    if (!req.user.admin) { 
    return res.sendStatus(401); 
    } else { 
    // move to the next middleware, cause it's ok 
    next(); 
    } 
} 

// the real route handler 
function myRouteHandler(req, res){ 
    doSomeWork(function(err, data){ 
    if (err) { return next(err); } 
    res.json(data); 
    }); 
} 

// put it all together 
router.use("/protected", processjwt, authorizationCheck); 
router.get("/protected", myRouteHandler); 

gibt es Dutzende von Variationen dieser Einrichtung, die verwendet werden können, aber das wird die über Idee.