我正在使用express构建API,我在路由中使用了多个中间件。以下是我的一个端点
Router.route('/:id/documents')
.get([isAuthenticated, isAdmin || isUserOwn], Users.getUserDocuments);
以下是我的中间件:
export const isAdmin = (req, res, next) => {
if (req.decoded.role === 1) {
next();
} else {
res.status(401).send({
status: 'error',
message: 'Only admins are authorized to access this resource',
});
}
};
export const isUserOwn = (req, res, next) => {
if (req.decoded.userId === parseInt(req.params.id, 10)) {
next();
} else {
res.status(401).send({
status: 'error',
message: 'Only the owner can access this resource',
});
}
};
我只希望文档的所有者和管理员可以访问该文档。我现在遇到的问题是,如果用户不是管理员,它会发送isAdmin响应,甚至无需访问isUserOwn中间件。我实际上已经想过将两者都转换成一个中间件,但我也在其他路线上单独使用它们。如何让它同时运行?
答案 0 :(得分:1)
function isAdminOrisUserOwn(req,res,next){
if(req.decoded.userId === parseInt(req.params.id, 10) || req.decoded.role === 1){
next();
}else{
//error
}
}
功能通常是真实的,所以
func1 || func2
等于
func1
解决方案可能是上面的额外功能,或者是一种非常复杂的方法:
app.use(function(req,res,next){
isAdmin(req,{
status(code){
isUserOwn(req,res,next);
return this;
},
send(){}
},next);
也许最优雅的方法是一些包装函数,例如:
function every(...funcs){
return function(req,res,next){
var every=false;
funcs.reduce(function(func,middle){
return function(){
middle(req,res,func);
}
},_=>every=true);
if(every) next() else res.error(404);
};
}
function some(...funcs){
return function(req,res,next){
var some=false;
if(funcs.some(function(middle){
middle(req,res,_=>some=true);
return some;
}
})) next() else res.error(404);
};
}
所以你可以这样做:
app.use(some(isAdmin,isUserOwn),...);