我正在制作一个具有不同访问级别的API,“客户端”可能只能阅读。但'admin'必须具有写访问权限。每次将不同的角色作为Sails.js中的策略进行检查,并在req.session中设置权限。
我只需要让'client'无权访问创建,更新和删除操作,因此我创建了一个具有这些CRUD操作的控制器,并检查用户是否具有正确的角色。所有限制访问的操作都会通过routes.js重定向到此控制器。
现在我的问题是当我删除一个条目时:Category.destroy(req.param('id'));给我未定义,没有做过方法。与文档中提到的不同,我设法通过创建此问题来解决问题:
var deleted = Category.destroy(req.param('id'), function(err, status) {
if (status == 1){
res.json({message: 'Category is deleted'});
} else {
res.json({message: 'Oops, something went wrong'});
}
});
但必须有另一种方法将身份验证应用于这些基本操作。因为现在我要编写所有动作。
我写的删除功能代码有问题吗?是否可以应用策略并重定向到默认模型操作,就好像根本没有身份验证一样?
答案 0 :(得分:11)
您可以在Models或Controllers级别定义政策。以下是/config/policies.js的示例。
module.exports.policies = {
// Default policy (allow public access)
'*': true,
'events': 'eventsPolicy', // Policy for a Model
someController: { // Policy for a Controller
// Apply the "authenticated" policy to all actions
'*': 'authenticated',
// For someAction, apply 'somePolicy' instead
someAction: 'somePolicy'
}
};
在api/policies下,您可以在其中定义访问级别。
module.exports = function (req, res, next) {
if (req.session.user) {
var action = req.param('action');
if (action == "create") {
req.body.userId = req.session.user.id;
req.body.username = req.session.user.username;
}
next();
} else {
res.send("You're not authenticated.", 403);
}
};
希望这有帮助。
答案 1 :(得分:2)
刚刚修改了重命名为控制器的所有策略,如de CLI中所述:'sails generate model example'给出关于控制器被命名为单数的通知。所以我不需要将所有模型动作重定向到多个控制器(示例)。现在所有基本的CRUD操作都正常工作。
sails.js视频教程对我帮助很大:http://www.youtube.com/watch?feature=player_embedded&v=GK-tFvpIR7c
答案 2 :(得分:0)
我的猜测(不是我自己的Sails用户)就是你要么传递一个回调,或你会得到一个有done()的对象方法:
Category.destroy(id, function(...) {...}); // method 1
Category.destroy(id).done(function(...) {...}); // method 2