保护上传的文件,仅提供授权用户访问权限

时间:2016-01-26 13:00:10

标签: javascript node.js

我正在使用Multer上传一些文件,我想知道在上传后保护访问这些文件的推荐方法是什么。

我有两种类型的用户;管理员和普通用户。用户只能上传照片,只有管理员才能访问照片的网址。

我上传文件的文件夹结构:./public/uploads/teacher/

这是我的代码:

server.js

// This is auth middleware which checks if access token is valid to access API
app.all('/api/*', [require('./validateReq')]);

app.use('/', require('./routes'));
app.use(express.static('public'));

路由/ index.js

var teacher = require('./teachers.js');

router.post('/upload', teacher.uploadAvatar);

路由/ teachers.js

var multer      = require('multer');
var upload      = multer({ dest: 'uploads/teacher/' }).single('avatar');

uploadAvatar: function(req, res) {
    upload(req, res, function(err) {
        console.log(req.body);
        console.log(req.file);

        if(err) {
            return res.end("Error uploading file.");
        }
        res.end("File is uploaded");
    });
}

如果用户上传文件john_doe.png,我如何才能将以下网址的访问权限仅限于教师/管理员,因此不会公开:localhost:8000/uploads/teacher/john_doe.png。在这种情况下最好的做法是什么?

1 个答案:

答案 0 :(得分:0)

这与在返回资源之前添加身份验证过程没有什么不同。有各种方法可以解决它。例如,在最基本的级别中,您可以使用basic authentication header。您还可以使用cookie(特别是httpOnly cookie)来传递授权cookie等。

看到您已经有类似的中间件,您可以使用它来检查用户是否具有管理员权限,然后授权他们查看资源。