Node.js + Express.js Модель захисту дозволів користувача

У нас є програма, яка має два типи користувачів. Залежно від способу входу користувача, ми хочемо, щоб він мав доступ до різних частин програми.

Як ми реалізуємо модель безпеки, щоб запобігти користувачам бачити речі, до яких вони не мають доступу?

Чи робимо ми безпеку частиною реалізації кожного маршруту? Проблема полягає в тому, що ми матимемо певну логіку в запитах. Ми могли б перенести це у допоміжні функції, але нам все одно потрібно пам’ятати про його виклик.

Чи робимо ми безпеку частиною глобального обробника маршруту app.all ()? Проблема полягає в тому, що нам доводиться оглядати кожен маршрут і робити різну логіку на основі безлічі правил. Принаймні весь код знаходиться в одному місці, але тоді ... весь код знаходиться в одному місці.

Наявність його на маршруті, як правило, працює для мене. Це те, що я зазвичай роблю:

function requireRole (role) {
    return function (req, res, next) {
        if (req.session.user && req.session.user.role === role) {
            next();
        } else {
            res.send(403);
        }
    }
}

app.get("/foo", foo.index);
app.get("/foo/:id", requireRole("user"), foo.show);
app.post("/foo", requireRole("admin"), foo.create);

// All bars are protected
app.all("/foo/bar", requireRole("admin"));

// All paths starting with "/foo/bar/" are protected
app.all("/foo/bar/*", requireRole("user"));

Ви можете використовувати здібності-js з everyauth, що дуже схоже на CanCan for Rails https://github.com/scottkf/ability-js

Погляньте на цей список для систем ACL / дозволів NodeJS. Найкраще виглядає IMHO OptimalBits node_acl .

Зараз для цього є дозвіл на модуль Node . Він дуже простий у використанні, дуже схожий на прийняту відповідь, але все ж деякі функції додані.