基于角色的jwt授权

时间:2017-07-11 04:48:08

标签: node.js jwt

我正在尝试使用JSON Web令牌验证Node.js API。我可以生成令牌来验证用户。现在我需要根据用户角色来检测我的API。 以下是我如何路由中间件来验证和检查令牌。

var app = express();

var apiRoutes = express.Router();
apiRoutes.use(function (req, res, next) {

    var token = req.body.token || req.param('token') || req.headers['x-access-token'];

    if (token) {
        jwt.verify(token, app.get('superSecret'), function (err, decoded) {
            if (err) {
                return res.json({ success: false, message: 'Failed to authenticate token.' });
            } else {
                req.decoded = decoded;
                next();
            }
        });

    } else {
        return res.status(403).send({
            success: false,
            message: 'No token provided.'
        });
    }
});

apiRoutes.get('/check', function (req, res) {
    //...
});

app.use('/api', apiRoutes);

这样,我保护API说/api/check。这只能由admin user访问。现在我有另一个super user可以访问/api/validate admin user无法访问的/api/validate。我如何仅为super user保护apiRoutes.post('/delete/:id',requireAdmin, function (req, res) { //do the rest }; function requireAdmin(req, res, next) { var currentUserRole=".."; //get current user role if('admin' == currentUserRole ) { next(); } else{ next(new Error("Permission denied.")); return; } }; 。我是否需要再写一个中间件才能做到这一点?

以下是我现在进行管理员检查的方法,

requireSuperUser

同样用于超级用户检查的ECSlidingViewController函数。这是进行管理员/超级用户检查的正确方法吗?

2 个答案:

答案 0 :(得分:8)

创建JWT时,您可以将自己的有效负载作为私有声明提供。 E.g:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true,
  "superUser": false
}

您也可以为登录用户列出一组用户角色

{
  "sub": "1234567890",
  "name": "John Doe",
  "roles": [
    "ADMIN",
    "SUPERUSER"
  ]
}

然后需要解码令牌(最好使用express.js中间件进行此身份验证/授权)并检查角色并在不允许时抛出HTTP 401。如果允许,请致电next();继续并输入匹配的路线。

这种可能的中间件功能的小例子:

function canAccess(req, res, next) {
  checkAuthorization(req, function (err, authorized) {
      if (err || !authorized) {
          res.send({message: 'Unauthorized', status: 401});
      }

      next();
  });

  function checkAuthorization(req, callback) {
      // jwt decode and actual authentication admin/superuser matching goes here..
  }
}

router.use(canAccess);

有关JWT声明的更多信息:https://jwt.io/introduction

有关expressjs中间件的更多信息:https://expressjs.com/en/guide/using-middleware.html

答案 1 :(得分:1)

添加了requireAdmin功能,并通过解码有效负载来检查角色是否为admin。

api.post('/create',requireAdmin, function (req, res) {
   //.....
}

function requireAdmin(request, response, next) {
    if (request.decoded.role != 'admin') {
        response.json({message: 'Permission denied.' });
    }
    else {
        next();
    }
};
相关问题
最新问题