Node.js + Express.js Autorizzazione utente Modello di sicurezza

Question

Abbiamo un'applicazione con due tipi di utenti. A seconda di come l'utente si collega, vogliamo che abbiano accesso a diverse parti dell'applicazione.

Come implementare un modello di sicurezza per impedire agli utenti di visualizzare le cose a cui non hanno accesso?

Facciamo parte della sicurezza di ogni implementazione di rotte? Il problema è che avremo qualche logica duplicata tra le richieste. Potremmo trasferirlo in funzioni di aiuto, ma dovremmo comunque ricordarci di chiamarlo.

Facciamo parte della sicurezza di un gestore di percorsi globale app.all()? Il problema è che dobbiamo ispezionare ogni rotta e fare una logica diversa basata su una moltitudine di regole. Almeno tutto il codice è in un posto, ma poi ... tutto il codice è in un posto.

Answer 1

Avere per rotta di solito funziona per me. Questo è quello che faccio di solito:

function requireRole (role) { 
    return function (req, res, next) { 
     if (req.session.user && req.session.user.role === role) { 
      next(); 
     } else { 
      res.send(403); 
     } 
    } 
} 

app.get("/foo", foo.index); 
app.get("/foo/:id", requireRole("user"), foo.show); 
app.post("/foo", requireRole("admin"), foo.create); 

// All bars are protected 
app.all("/foo/bar", requireRole("admin")); 

// All paths starting with "/foo/bar/" are protected 
app.all("/foo/bar/*", requireRole("user")); 

Answer 2

È possibile usare l'abilità-js con everyauth, che è molto simile a CanCan per Rails https://github.com/scottkf/ability-js

Answer 3

Date un'occhiata al this list per NodeJS ACL/sistemi di autorizzazione. IMHO OptimalBits node_acl sembra migliore.

Answer 4

Per questo è ora disponibile il modulo Node permission. È molto facile da usare, molto simile alla risposta accettata, ma vengono comunque aggiunte alcune funzionalità.