我希望路由只能由版主或管理员访问。我尝试在路线上应用数组中间件。但是,如果一个中间件无法申请,它只会拒绝访问。
所以,假设我是管理员或版主,我可以访问/store-detail.
但在这里,如果我是管理员,我无法访问它,因为它也会检查主持人。
这里两个中间件admin和 都moderator被应用。
我希望它适用admin或moderator.
我怎样才能只应用其中之一?
这样只有管理员或版主才能访问它。
verify中间件是验证jwt token。
路由器
router.post('/store-detail', [verify, admin, moderator], async (req, res) => {
//validate data
}}
中间件
const User = require('../models').User
module.exports = async function (req, res, next) {
// 401 Unauthorized
const user = await User.findOne({ where: { id : req.user.id}})
if(user.role !== 'moderator') return res.status(403).send({error: { status:403, message:'Access denied.'}});
next();
}
const User = require('../models').User
module.exports = async function (req, res, next) {
// 401 Unauthorized
const user = await User.findOne({ where: { id : req.user.id}})
if(user.role !== 'admin') return res.status(403).send({error: { status:403, message:'Access denied.'}});
next();
}
中间件是连续执行的,因此第一个拒绝访问的中间件会发送错误。我建议创建一个接受参数的中间件:
module.exports = function hasRole(roles) {
return async function(req, res, next) {
const user = await User.findOne({ where: { id: req.user.id } });
if (!user || !roles.includes(user.role)) {
return res.status(403).send({error: { status:403, message:'Access denied.'}});
}
next();
}
}
并像这样使用中间件:
router.post('/store-detail', verify, hasRole(['admin', 'moderator']), async (req, res) => {})
| 归档时间: |
|
| 查看次数: |
3807 次 |
| 最近记录: |