我正在尝试使用JSON Web令牌验证Node.js API . 我可以生成令牌来验证用户 . 现在我需要根据用户角色来检测我的API . 以下是我如何路由中间件来验证和检查令牌 .
var app = express();
var apiRoutes = express.Router();
apiRoutes.use(function (req, res, next) {
var token = req.body.token || req.param('token') || req.headers['x-access-token'];
if (token) {
jwt.verify(token, app.get('superSecret'), function (err, decoded) {
if (err) {
return res.json({ success: false, message: 'Failed to authenticate token.' });
} else {
req.decoded = decoded;
next();
}
});
} else {
return res.status(403).send({
success: false,
message: 'No token provided.'
});
}
});
apiRoutes.get('/check', function (req, res) {
//...
});
app.use('/api', apiRoutes);
这样,我保护API说 /api/check . 这只能通过 admin user 访问 . 现在我有另一个 super user 谁可以访问 admin user , admin user 无法访问 . 我如何仅为 super user 保护 /api/validate . 我是否需要再编写一个中间件来执行此操作?
这是我现在如何进行管理检查,
apiRoutes.post('/delete/:id',requireAdmin, function (req, res) {
//do the rest
};
function requireAdmin(req, res, next) {
var currentUserRole=".."; //get current user role
if('admin' == currentUserRole )
{
next();
}
else{
next(new Error("Permission denied."));
return;
}
};
同样 requireSuperUser 函数用于超级用户检查 . 这是正确的方式进行管理员/超级用户检查吗?
2 回答
创建JWT时,您可以将自己的有效负载作为私有声明提供 . 例如 . :
您也可以为登录用户列出一组用户角色
然后需要解码令牌(最好使用express.js中间件用于此身份验证/授权目的)并检查角色并在允许's not allowed. When it'时抛出HTTP 401,调用
next();继续并输入匹配路由 .这种可能的中间件功能的一个小例子:
有关JWT索赔的更多信息:https://jwt.io/introduction
有关expressjs中间件的更多信息:https://expressjs.com/en/guide/using-middleware.html
添加了
requireAdmin函数,并通过解码有效负载检查角色是否为admin .