我试图在我的REST API(expressjs / mysql)中为用户实现细粒度/细化权限。
我的网络应用程序包含成员组。 每个成员组都有一位管理员(用户)。
我不认为JWT可以在这里工作,因为当声明存储在用户JWT令牌中时,如果该组的管理员发生更改,那么旧用户可能仍然对其令牌无效声明。
例如:
user1成为g1组的管理员
user1具有token1,允许对组g1进行管理操作。
user2成为g1组的新管理员。
user1的令牌仍然有效,并且包含允许对group1执行管理操作的声明。
如何在nodejs中实现每对象级别授权机制,其中用户 - >执行操作 - >对象?
PassportJS处理身份验证,但我无法找到有关实现具有上述复杂性的授权的良好信息。
将权限信息存储在数据库中并查询数据库并执行授权验证是否有意义?