我正在尝试使用 JSON Web 令牌对 Node.js API 进行身份验证。我可以生成令牌来验证用户身份。现在我需要根据用户角色保护我的 API。
以下是我如何路由中间件来验证和检查令牌。
var app = express();
var apiRoutes = express.Router();
apiRoutes.use(function (req, res, next) {
var token = req.body.token || req.param('token') || req.headers['x-access-token'];
if (token) {
jwt.verify(token, app.get('superSecret'), function (err, decoded) {
if (err) {
return res.json({ success: false, message: 'Failed to authenticate token.' });
} else {
req.decoded = decoded;
next();
}
});
} else {
return res.status(403).send({
success: false,
message: 'No token provided.'
});
}
});
apiRoutes.get('/check', function (req, res) {
//...
});
app.use('/api', apiRoutes);
这样,我就可以保护 API 了/api/check
。这可以通过以下方式访问admin user
仅有的。现在我有另一个super user
谁可以访问/api/validate
其中admin user
无法访问。我该如何保护/api/validate
仅适用于super user
。我需要再编写一个中间件来执行此操作吗?
这是我现在进行管理检查的方式,
apiRoutes.post('/delete/:id',requireAdmin, function (req, res) {
//do the rest
};
function requireAdmin(req, res, next) {
var currentUserRole=".."; //get current user role
if('admin' == currentUserRole )
{
next();
}
else{
next(new Error("Permission denied."));
return;
}
};
相似地requireSuperUser
超级用户检查功能。这是进行管理员/超级用户检查的正确方法吗?