有问题的图书馆位于:node_acl
所以,让我们说我正在创建一个博客,并设置一个名为writer的角色,如下所示:
acl.allow('writer', 'blog', ['get', 'post', 'put', 'delete']
这会保护的路线如下:
app.get('/blog/:blogID', acl.middleware(), blogs.show)
app.post('/blog', acl.middleware(), blogs.create)
app.put('/blog/:blogID', acl.middleware(), blogs.edit)
app.delete('/blog/:blogID', acl.middleware(), blogs.remove)
问题是,我显然不希望他们能够删除或编辑彼此的博客帖子,因为他们允许访问所有博客。我想解决这个问题的唯一方法就是让每个用户都有自己的角色,每个资源都会被命名为像博客博客ID'博客博客ID'等等。 ,但这似乎不是一个好主意。想法?