基于角色的jwt授权

2024-02-20

我正在尝试使用 JSON Web 令牌对 Node.js API 进行身份验证。我可以生成令牌来验证用户身份。现在我需要根据用户角色保护我的 API。以下是我如何路由中间件来验证和检查令牌。

var app = express();

var apiRoutes = express.Router();
apiRoutes.use(function (req, res, next) {

    var token = req.body.token || req.param('token') || req.headers['x-access-token'];

    if (token) {
        jwt.verify(token, app.get('superSecret'), function (err, decoded) {
            if (err) {
                return res.json({ success: false, message: 'Failed to authenticate token.' });
            } else {
                req.decoded = decoded;
                next();
            }
        });

    } else {
        return res.status(403).send({
            success: false,
            message: 'No token provided.'
        });
    }
});

apiRoutes.get('/check', function (req, res) {
    //...
});

app.use('/api', apiRoutes);

这样，我就可以保护 API 了/api/check。这可以通过以下方式访问admin user仅有的。现在我有另一个super user谁可以访问/api/validate其中admin user无法访问。我该如何保护/api/validate仅适用于super user。我需要再编写一个中间件来执行此操作吗？

这是我现在进行管理检查的方式，

apiRoutes.post('/delete/:id',requireAdmin, function (req, res) {
//do the rest
};

function requireAdmin(req, res, next) {
    var currentUserRole=".."; //get current user role
    if('admin' == currentUserRole )
     {
         next();
     }
     else{
          next(new Error("Permission denied."));
    return;
     }  
};

相似地requireSuperUser超级用户检查功能。这是进行管理员/超级用户检查的正确方法吗？

创建 JWT 时，您可以提供自己的有效负载作为私有声明。例如。：

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true,
  "superUser": false
}

同样，您也许可以列出登录用户的一组用户角色

{
  "sub": "1234567890",
  "name": "John Doe",
  "roles": [
    "ADMIN",
    "SUPERUSER"
  ]
}

然后需要的是解码令牌（最好使用express.js中间件来实现此身份验证/授权目的）并检查角色并在不允许时抛出HTTP 401。当允许时，请致电next();继续并输入匹配的路线。

这种可能的中间件功能的小例子：

function canAccess(req, res, next) {
  checkAuthorization(req, function (err, authorized) {
      if (err || !authorized) {
          res.send({message: 'Unauthorized', status: 401});
      }

      next();
  });

  function checkAuthorization(req, callback) {
      // jwt decode and actual authentication admin/superuser matching goes here..
  }
}

router.use(canAccess);

有关 JWT 声明的更多信息：https://jwt.io/简介 https://jwt.io/introduction

有关expressjs中间件的更多信息：https://expressjs.com/en/guide/using-middleware.html https://expressjs.com/en/guide/using-middleware.html

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

nodejs

JWT

基于角色的jwt授权的相关文章

Nodejs 调试生产中的错误

我有一个在生产环境中运行的 Nodejs 脚本我不太可能千分之一遇到这样的错误 TypeError value is out of bounds at checkInt buffer js 1009 11 at Buffer writ
添加要在给定命令中运行的 .env 变量

我有一个 env 文件其中包含如下变量 HELLO world SOMETHING nothing 前几天我发现了这个很棒的脚本它将这些变量放入当前会话中所以当我运行这样的东西时 cat env grep v xargs node t
使用socket.io进行用户身份验证

我已经红色了这个教程 http howtonode org socket io auth http howtonode org socket io auth 它展示了如何使用express和socket io对用户进行身份验证但是有没有一
Jwt 签名和前端登录身份验证

我有这个特殊的 jwt sign 函数 Backend const token jwt sign id user id process env TOKEN SECRET expiresIn 1m res header auth token
护照本地猫鼬帐户注册的附加字段？

我将 Passport local mongoose 与 Node js Express js MongoDB 一起用于 Web 应用程序我想使用用户名字段密码字段公司名称字段和电话号码字段所有字段来注册用户作为字符串但是我只
如何使用 sinon/mocha 模拟 npm 模块

我正在尝试测试调用该模块的函数cors 我想测试一下cors会被称为为此我必须存根模拟它这是函数 cors js const cors require cors const setCors gt cors origin http l
由于 Chrome 修订，Firebase puppeteer PDF 功能超时

我有一个 Firebase 函数来创建 PDF 文件最近由于 Chrome 修订版而超时我既不明白错误消息也不明白出了什么问题当我在 MacOS 下将其本地部署时该功能有效 TimeoutError Timed out aft
如何设置上传的文件名？

By using multer I made it to request image file like this 这个文件存储在我设置的上传文件夹中我的代码如下 var multer require multer var uploa
缺少节点-v59-linux-x64/grpc_node.node

我正在尝试在我的服务器中使用 Firebase admin SDK 当我部署时出现错误我在 firebase admin node module 映射中缺少文件 node v59 linux x64 grpc node node 我在包
节点无法抓取某些页面

我不知道这是否与冷融合页面有关但我无法刮掉这些 cfm pages 在目录中的命令行中request run node gt var request require request node gt var url http linguis
Angular-cli AOT 构建失败，并显示“致命错误：CALL_AND_RETRY_LAST 分配失败 - JavaScript 堆内存不足”

我正在尝试使用 AOT 构建我的 angular cli 项目 ng build aot 但它因错误而失败致命错误 CALL AND RETRY LAST 分配失败 JavaScript 堆内存不足如果我用 prod flag 任何想法
nodemon 安装错误“没有可用于超时的有效版本”

尝试在全新的节点项目中安装 nodemon 时出现此错误我创建了一个名为 my project 的空白文件夹然后在其中我执行了创建一个 package json 文件 npm init f 然后当尝试运行时 npm install
Nodejs Express中间件函数返回值

我正在使用 NodeJS 和 Express 我有以下路线中间件功能是Mobile 如果我不使用 return next 在 isMobile 函数中应用程序会卡住因为 NodeJS 不会移至下一个函数但我需要 isMobile 函
在回调中使用await（Microsoft Bot Framework v4 Nodejs）

我正在尝试将回复发送回chatbot emulator从内部回调 async getUserDetails step console log inside get userdetaiuls modeiule this userDBObjec
如何使用remark将markdown解析为json

The 备注站点 https remark js org 有一个 AST 浏览器的链接用于输出备注 https astexplorer net gist 0a92bbf654aca4fdfb3f139254cf0bad ffe102014
无法使用 Nest CLI 创建新项目

我正在关注this https docs nestjs com first steps创建 Nest 项目的教程我已经安装了Nest CLI使用这个命令 npm i g nestjs cli 我使用以下命令检查了本地安装的软件包列表发现
在 MongoDB 上，当我的回调位于“find”内部时，如何限制查询？

我在 MongoDB 中有这个查询 db privateMessages find or fromId userId toId socket userId fromId socket userId toId userId function
使用 Sequelize 实现单表继承

有没有办法使用sequelize来创建单表继承我希望有一个用于购买和 PartialPurchase 模型的 STI 其中我将有一个类型字段该字段为 Purchase 或 PartialPurchase 以及类 Purchasing 和
如何检查请求是否通过 Express 中的 https 发送

我想强制某些路线始终在我的 Express 应用程序中使用安全连接我如何检查以确保它使用 https 我在 heroku 上使用搭载 ssl 进行部署我也在 Heroku 上部署当他们使用 nginx 进行反向代理时他们添加了一堆标
流星内存不足

我正在使用流星来制作报废引擎我必须执行一个 HTTP GET 请求这会向我发送一个 xml 但这个 xml 大于 400 ko 我得到一个异常内存不足 result Meteor http get http SomeUrl com 致

随机推荐

如何使 gremlin_python DriverRemoteConnection 对每次提交都有超时和重试限制？

免责声明我们目前正在使用gremlinpython 3 4 8我相信最近的版本中已经解决了其中一些问题但我不确定一般来说这似乎是一个非常活跃的存储库在过去两个最新版本日志当前为 3 4 10 中进行了一些相关更改很高兴根据需要
使用 VB 6.0 解析远程 URL 处的 xml 文档

我正在尝试使用 Visual Basic 6 0 解析驻留在远程服务器上的 xml 文件的内容MSXML2 DOMDocument class 我正在使用Load的方法MSXML2 DOMDocument类来传递 url url 的形式为h
在 gdb 中查看 ASCII 寄存器内容

假设我现在处于这个位置我想以ascii格式查看cl ch cx ecx等的内容该怎么办下面是子程序中显示的内容layout asm命令 RemCharCodeFromAToB standard entry sequence push
可以对图像图标进行分层吗？

我想知道是否可以在 Java 中对图像图标进行分层我将使用 GIF 图像并且将有一个图像图标网格代表我的 JPane 的背景当特定条件成立时我需要能够在其他图像之上添加具有透明度的图像问候杰克亨特是的这是可能的有两种正
使用 JavaScript 构建 XLSX 文件

我正在尝试使用 JavaScript 和一些数据库查询结果构建 XLSX 文件我必须使用 JavaScript 因为服务器后端仅提供 JavaScript 接口来使用并且它不喜欢 jQuery 现在我似乎已经发现了一些东西来实际创建要
在 WooCommerce 中添加隐藏结帐字段？

我想包含一个指向通过 WooCommerce 提交结帐表单的当前用户的个人资料的链接也就是说自动将当前用户的作者链接放置在隐藏字段中如下所示 example com author username 我想通过在结帐表单中添加隐藏字段来实
Bootstrap 4从右到左自定义文件输入

我正在尝试使上传文件输入方向从 bootstrap 4 从右到左但到目前为止我尝试过的都不起作用我还尝试改变不同标签的方向 div class form group div class col md 4 div class custom
我需要有关 NoSQL/MongoDb 和数据/模型结构的建议

最近我正在探索NoSQL 数据库我需要关于如何针对给定问题以最优化最有效的方式存储数据的建议我现在的目标是 MongoDB 不过它应该与 CouchDB 相同假设我们有这 3 个模型 Story id title User id
字符串到二进制，反之亦然：扩展 ASCII

我想通过将字符串放入字节数组中将其转换为二进制 String getBytes 然后存储每个字节的二进制字符串 Integer toBinaryString bytearray 在 String 中然后我想通过转换回普通字符串Byte p
如何获取用户输入的名称并在 edittext 中搜索相应位置

我可以将 Google 地图放入我的 Android 手机中我设置了谷歌地图的搜索选项如果用户给出位置并单击按钮搜索意味着它会在谷歌地图中找到该位置现在我想当用户在 Edittext 中给出位置名称时显示相对位置请给我任何参考 i
用于图像过滤的 3d CUDA 内核索引？

我有一个图像特征矩阵A是n m 31矩阵用于过滤的填充我有B作为对象过滤器k l 31 我想获得一个输出矩阵 C 为 p r 31 其大小为图像 A 的大小无填充我尝试编写 CUDA 代码来在 A 上运行过滤器 B 并获得 C 我假设
Python：s3 中的递归 glob

我试图从 s3 获取子目录和子目录的子目录等等内的 parquet 文件路径列表如果它是我的本地文件系统我会这样做 import glob glob glob C Users user info parquet recursive
在 .Net 中为 64 位计算机创建快捷方式 - 仅编译为 64 位应用程序 [重复]

这个问题在这里已经有答案了可能的重复在目录中创建应用程序快捷方式 https stackoverflow com questions 234231 creating application shortcut in a directory
ActionView::Template::错误：缺少要链接的主机！请提供 :host 参数，设置 default_url_options[:host]，或设置 :only_path 为 true

我的 ruby on Rails 动作邮件程序在开发环境中运行良好但在生产环境中它不断抛出 ActionView Template Error Missing host to link to Please provide the hos
Kubernetes 持久卷声明无限期处于待处理状态

我创建了一个来自 Google Compute Engine 永久磁盘的 PersistentVolume 我已经对其进行了格式化并配置了数据 Kubernetes 表示 PersistentVolume 可用 kind Persisten
如何以编程方式添加地图片段

我想以编程方式将此 xml 片段添加到其他片段是否可以
如何创建带圆角的条纹按钮

是否可以创建一个带有条纹背景和圆角的按钮我知道如何使用制作条纹背景对角线条纹 http www stripegenerator com http www stripegenerator com 和使用tileMode repeat 的位
JUnit 5 中的ExternalResource 和TemporaryFolder 等价物是什么？

根据JUnit 5 用户指南 http junit org junit5 docs current user guide migrating from junit4 rulesupport JUnit Jupiter 为某些 JUnit 4
重定向输出时 Windows 编码发生变化

你好我有以下 python 文件 test py import sys print sys stdout encoding sys stdout reconfigure encoding utf 8 print sys stdout en
基于角色的jwt授权

我正在尝试使用 JSON Web 令牌对 Node js API 进行身份验证我可以生成令牌来验证用户身份现在我需要根据用户角色保护我的 API 以下是我如何路由中间件来验证和检查令牌 var app express var apiRo

基于角色的jwt授权

基于角色的jwt授权 的相关文章

随机推荐

热门标签

基于角色的jwt授权的相关文章