表达限制资源的优雅方法属于特定用户

Question

我发现了很多有关基于权限/角色的授权的线程。但是，我正在寻找一种优雅的方式或任何bast练习来返回数据/资源属于特定用户？

例如：我希望http：// localhost：3000/交易不会返回所有交易，只有属于启动请求的已认证的用户的事务。

我的简单/手动解决方案？每个事务项目都有user_id字段，因此我可以编写解码JWT令牌的中间件，并从令牌中获取user_id，然后将其暴露于请求对象（IE request.user_id = User_id来自令牌）。对于每条路线（如交易），我可以使用此request.user_id并将其添加到查询中。

我想知道，在express/node.js应用程序中处理此问题的最佳解决方案是什么？图书馆？服务？ SaaS？

Answer 1

您的方法听起来正确。用户ID是用于授权的值，以数字可验证的方式接收，并称为a 索赔。一种好的方法是设计索赔或索赔包含API业务授权使用的详细信息的对象。

在node.js中，当令牌经过验证时，有时会在中间件中处理，然后将其保存到wespons.locals.locals.locals.claims中，如我的代码。然后，如您所描述的那样，商业逻辑可以使用这些值。