问答博客资讯标签用户活动
logo极客观点logo项目管理logoHarmonyOS
开发者社区
javascript
前端
python
node.js
react
vue.js
php
laravel
go
人工智能
mysql
linux
ios
java
android
css
typescript
spring
程序员
logoONES 研发管理logo思否企业问答logo安谋科技 XPU

nodejs 上用户访问页面权限问题

头像
LuDongWei
    62024246

    问题: 我需要判断当前用户是否,具有访问当前url的权限。但是接收访问的时候我无法判断是 页面的请求与接口访问,所以没办法来区分。

    我的想法如下:

    app.use(function (req, res, next) { 
    // 1. 获取url
    // 2. 根据url和当前用户配置判断 是否具有访问资格
})

    如果有好的办法和建议的希望提供帮助。

    node.js
    阅读 5.8k
    3 个回答
    得票最新
    头像
    wusisu
      1.1k1211
      ✓ 已被采纳

      我也在摸索着在这方面实践。

      凭借我的经验,试答如下:

      1. 设计上应该尽可能把同一类api设置在一个base_path下,这样可以在那个base_path上挂载一个中间件鉴权。

      2. 基于rbac的思想,我试过在你的想法的中间件那里,获取path,取得user.role。然后通过一个既定的map查询。accessible = PermitRoleMap[req.user.role][req.url.path]

      3. 在上述条件下,PermitRoleMap是一个二维的bool型数组。也可以升级为允许储存function。

      4. 最后,通常少许的一些个path上,还要有专门的权限处理中间件,或者处理步骤。

      另外我正在看
      https://github.com/bryandragon/mongoose-rbac
      https://github.com/OptimalBits/node_acl

      头像
      Youwei
        1.7k3412

        写一个路由中间件应该能实现你的需求

        中间件要做的事就是判断当前用户是否有权限

        头像
        hsluoyz
          113

          现在新推出了一个权限框架,叫Node-Casbin(https://github.com/casbin/node-casbin)。Casbin采用了元模型的设计思想,支持多种经典的访问控制方案,如ACL、RBAC、ABAC,还支持对RESTful API的控制。现在已经支持Express、Koa2、Egg等Web框架了。需要中文文档的话,可以在百度搜索:Casbin

          撰写回答
          你尚未登录,登录后可以
          • 和开发者交流问题的细节
          • 关注并接收问题和回答的更新提醒
          • 参与内容的编辑和改进,让解决方法与时俱进
          推荐问题