标签: javascript node.js
我有一个nodejs应用程序+ MongoDB,已正确地用jwt实现了身份验证!一切正常。
我的问题是如何只允许特定用户使用某些资源。
我不是在谈论管理员或来宾角色。
例如,有3个用户注册了我的应用, 用户1登录并获得令牌,理论上,用户1可以使用规则“用户”从任何受保护的数据中获取数据,即使这些数据与他无关。
我的意思是,理论上用户1可以使用有效令牌发出请求并查找有关用户2的数据。
那么验证资源是否与特定用户相关的最佳方法是什么?