REST API是用ExpressJs 4.xx/NodeJS编写的.
我们假设一个界面:
app.delete('/api/v1/users/:uid', function (req, res, next) {
...
}
因此,使用该界面可以删除用户.
假设系统中有2个客户,每个客户都有用户.用户可以拥有删除具有名为CustomersAdmin的角色的其他用户的权限.但是,该用户应该只能从他的公司(客户)中删除用户.
所以,让我们让ACL进入场景.假设在我们的ACL中,我们可以定义角色,资源和权限.(代码来自http://github.com/OptimalBits/node_acl#middlware.)
app.delete('/api/v1/users/:uid', acl.protect(), function (req, res, next)
{
// ? Delete User with uid = uid or check
// ? first if current user is in same company as user uid
}
有两件事需要考虑.一个是保护路由,从未经许可的人到该路由上的HTTP/DELETE(/ api/v1/users /:uid),另一个是不允许具有角色CustomersAdmin的人员从另一个客户删除用户.
ACL应该同时做两件事吗?或者它应该保护route/api/v1/users?
那么,我会用它吗?
acl.allow([
{
roles:'CustomersAdmin',
allows:[
{resources:['/api/v1/users', '/api/v1/users'] permissions:'delete'}
}
app.delete('/api/v1/users/:uid',acl.middleware(3), function(req,res,next)
{
Make sure uid is a User from same Customer as request is from(req.session.userid)
}
这将允许每个具有角色CustomersAdmin的用户删除他想要的任何用户.或者最好将每个可能的用户路由定义为资源并定义多个可以与之交互的角色?
acl.allow([ …