ฉันกำลังพยายามสร้างมิดเดิลแวร์ที่สามารถรับพารามิเตอร์ได้ จะทำได้อย่างไร?
ตัวอย่าง
app.get('/hasToBeAdmin', HasRole('Admin'), function(req,res){
})
HasRole = function(role, req, res, next){
if(role != user.role){
res.redirect('/NotInRole);
}
next();
}
คำตอบ:
function HasRole(role) {
return function(req, res, next) {
if (role !== req.user.role) res.redirect(...);
else next();
}
}
ฉันต้องการตรวจสอบด้วยว่าฉันไม่ได้ทำสำเนาฟังก์ชันเดียวกันหลายชุด:
function HasRole(role) {
return HasRole[role] || (HasRole[role] = function(req, res, next) {
if (role !== req.user.role) res.redirect(...);
else next();
})
}
app.get('/a', hasRole('admin'))และapp.get('/b', hasRole('admin'))จะสร้างการปิดใหม่สำหรับแต่ละhasRoleรายการ สิ่งนี้ไม่สำคัญเกินความเป็นจริงมากเกินไปเว้นแต่คุณจะมีแอปพลิเคชันขนาดใหญ่จริงๆ ฉันแค่เขียนโค้ดแบบนี้โดยค่าเริ่มต้น
app.get('/hasToBeAdmin', (req, res, next) => {
hasRole(req, res, next, 'admin');
}, (req,res) => {
// regular route
});
const hasRole = (req, res, next, role) => {
if(role != user.role){
res.redirect('/NotInRole');
}
next();
};
หรือหากคุณไม่มีกรณีมากเกินไปหรือถ้าบทบาทไม่ใช่สตริง:
function HasRole(role) {
return function (req, res, next) {
if (role !== req.user.role) res.redirect(/* ... */);
else next();
}
}
var middlware_hasRoleAdmin = HasRole('admin'); // define router only once
app.get('/hasToBeAdmin', middlware_hasRoleAdmin, function (req, res) {
})
หากคุณมีระดับการอนุญาตหลายระดับคุณสามารถจัดโครงสร้างได้ดังนี้:
const LEVELS = Object.freeze({
basic: 1,
pro: 2,
admin: 3
});
/**
* Check if user has the required permission level
*/
module.exports = (role) => {
return (req, res, next) => {
if (LEVELS[req.user.role] < LEVELS[role]) return res.status(401).end();
return next();
}
}
ฉันใช้วิธีนี้ ฉันได้รับโทเค็น jwt ในความต้องการของร่างกายและรับข้อมูลบทบาทจากที่นั่น
//roleMiddleware.js
const checkRole = role => {
return (req, res, next) => {
if (req.role == role) {
console.log(`${role} role granted`)
next()
} else {
res.status(401).send({ result: 'error', message: `No ${role} permission granted` })
}
}
}
module.exports = { checkRole }
ก่อนอื่นฉันใช้มิดเดิลแวร์รับรองความถูกต้องเพื่อทราบว่าเป็นผู้ใช้ที่ถูกต้องหรือไม่จากนั้นมิดเดิลแวร์บทบาทเพื่อทราบว่าผู้ใช้สามารถเข้าถึงเส้นทาง API ได้หรือไม่
// router.js
router.post('/v1/something-protected', requireAuth, checkRole('commercial'), (req, res) => {
// do what you want...
})
ผมหวังว่าจะเป็นประโยชน์