所以基本上我正在处理这个项目,我有一个路由,用户可以更改他们的一些设置,问题是用户甚至可以更改他的权限、管理员权限等。
router.post('/', async(req, res) => {
const token = req.cookies.session;
if (!token) res.redirect('/Login');
const Player_ID = jwt.verify(token, process.env.JWT_SECRET);
console.log(Player_ID);
const PlayerID = Player_ID._id;
try {
if(req.body.password || req.body.username || req.body.id || req.body.email || req.body.views || req.body.isVerified || req.body.admin ) res.status(401).json({ok: false});
const changeAll = await User.findByIdAndUpdate(PlayerID, {...req.body });
res.status(200).json({ok: true});
} catch (error) {
}
})