我有这些架构:
var Store = mongoose.model('Store', new Schema({
name: String
}));
var Client = mongoose.model('Cllient', new Schema({
name: String,
store: { type: Schema.ObjectId, ref: 'Store' }
}));
var Order = mongoose.model('Order', new Schema({
number: String,
client: { type: Schema.ObjectId, ref: 'Client' }
}));
我正在尝试编写返回订单详细信息的API的Url处理程序,如下所示:
app.get('/api/store/:storeId/order/:orderId', function (...));
我正在Url中传递商店ID,以快速检查记录的用户是否对商店具有权限。如果不是,则返回403状态。也就是说,我认为这个storeId和orderId是足够的数据来获取订单,所以我试图对嵌套文档进行查询,但它只是不起作用。
Order.findOne(
{ 'client.store': req.params.storeId, _id: req.params.orderId },
function (err, order) { ... });
但订单对象为空;
即使我执行查找,它也会返回一个空数组:
Order.find(
{ 'client.store': req.params.storeId },
function (err, results) { ... });
我知道我也可以将cliendId传递给Url并首先检查客户端是否属于商店,然后从客户端检索订单,但我认为客户端部分是多余的,你不觉得?我应该能够通过仅使用这两个字段以安全的方式获得订单。
我在这里做错了什么?
答案 0 :(得分:0)
好的,我找到了。秘密在于populate的匹配选项。最终代码如下所示:
Order
.findOne({ _id: req.params.orderId })
.populate({ path: 'client', match: { store: req.params.storeId } })
.exec(function (err, order) { ... });