Question

在此应用中，唯一有权编辑或销毁帖子的用户应该是创建帖子的用户。

我有一条路由来验证用户是否给他们一个令牌。我还有一条验证令牌的路线：

apiRouter.route('/posts/:post_id')

    .put(function(req, res) {
        Post.findById(req.params.post_id, function(err, post) {
            if (err) res.send(err);

            if (req.body.title) post.title = req.body.title;
            if (req.body.body) post.body = req.body.body;
            if (req.body.author) post.author = req.body.author;

            post.save(function(err) {
                if (err) res.send(err);

                // return a message
                res.json({ message: 'Post updated!' });
            });
        });
    })

    .delete [...]

确保只有正确的用户可以使用令牌编辑和销毁帖子的标准方法是什么？

git log --since='last month' --pretty=format:'%h,%an,%ar,%s' > log.csv

Answer 1

您可以将所有逻辑用于检查用户是否是中间件中的已验证用户，并且可能使用rbac（基于角色的访问控制），为用户定义权限/角色。

具有MEAN堆栈的编辑/更新API端点的访问控制/授权

1 个答案: