Bre*_*ong 4 node.js express passport.js
在我的应用程序中,我已经实现了更改用户权限、等级等的功能。效果很好,如果我更新自己的权限,我可以立即看到更改,因为我可以通过req.login(). 问题是,当我更新另一个用户的权限时,它会在数据库中更新就好了,但是用户必须重新登录才能看到他们的权限更改,因为req.user他们仍然认为他们没有权限。如果他们没有登录当然很好,但如果他们登录了,如果可能的话,我希望立即为他们反映更改。
所以我想知道是否有办法更新另一个用户req.user对象,以便他们可以立即看到他们的权限更改,而无需注销并重新登录?
或者可能是一种在返回之前注销并登录该用户的方法?
由于权限在您自己的数据库中,因此您可以确保可以,但如何操作取决于您的应用程序。
鉴于您正在使用会话,存储在的对象将req.user通过使用您提供的函数为每个 HTTP 请求单独加载passport.deserializeUser。通常,您会将用户 ID 存储到 中的会话中passport.serializeUser,然后使用 中的 ID 从数据库中检索用户deserializeUser。因此,每当后端处理请求时,您通常都会在 中获得最新信息req.user,包括权限。当然,您的前端还需要以某种方式获得新权限并自行调整(例如,如果您向用户添加管理员权限,您可能希望他们看到 UI 中的管理员选项)。
您当然可以将整个用户对象传递给会话存储并跳过每个请求的一个数据库调用,即。使用这些:
passport.serializeUser(function(user, cb) { cb(null, user); });
passport.deserializeUser(function(user, cb) { cb(null, user); });
用于会话处理。如果这样做,则数据库更改不会反映在req.user对象上。如果用户更新了他们自己的信息,您可以调用req.logIn(...),但您不能为其他用户调用。你可以解决这个问题 - 例如。通过 websocket 通知有问题的用户,并让他们的浏览器调用一个路由,该路由req.logIn使用最新的用户对象调用,或者深入会话存储并直接操作那里的数据。
或者,由于强制注销是一个选项,您可以按照 enRaisers 的回答并从会话存储中找到用户会话并将它们全部删除,这实际上是从后端注销用户。您可以通过 API 浏览会话,或者如果您使用数据库(例如connect-mongo或connect-redis)进行会话存储,您还可以打开到同一数据库的另一个连接并使用正常的搜索和销毁方法。同样,您仍然需要以某种方式自己处理前端的注销。
| 归档时间: |
|
| 查看次数: |
2879 次 |
| 最近记录: |