如何在RESTful API中

Question

我正在寫一個MEAN.JS multiusers應用管理權限和一些行爲必須受到限制，所以我試圖找到「最佳實踐」在我自己的API來管理權限

我正在考慮爲每個用戶設置一個權限數組，每個API都必須檢查需要的用戶是否具有所需的所有權限。

ex。

GET /api/foo/:foo would need "foo-read" 
POST /api/foo would need "foo-create" 
PUT /api/foo/:foo would need "foo-update" 
DELETE /api/foo/:foo would need "foo-delete" 

GET /api/foo/:foo/bar:/bar would need "foo-read" and "bar-read" 
POST /api/foo/bar would need "foo-create" and "bar-create" 
PUT /api/foo/:foo/bar:/bar would need "foo-update" and "bar-update" 
DELETE /api/foo/:foo/bar:/bar would need "foo-delete" and "bar-delete" 

這樣用戶可以獲得創建新用戶的權限，但不具有授予他們管理權限的權限。

我想知道這是否是最好的方法來做到這一點，或者如果有一些現有的middelware。

Answer 1

使用授權框架。我使用cansecurity（完全披露：我是原作者）。它支持使用編程中間件和聲明性格式。

我會使用聲明這一點，因爲我喜歡讓我的server.js乾淨，和我所有的安全配置在同一個地方：

{ 
    "routes": [ 
     // [verb,path,default,[test params,] test condition] 
     ["GET","/api/foo/:foo","item.roles.foo_read === true"], 
     ["PUT","/api/foo/:foo","item.roles.foo_update === true"] 
    ] 
} 

Answer 2

也許你可以使用快遞中間件過濾器來做到這一點。

app.get(function(req,res,next){your code - res.end(data);}); 

到

var checkpermissions=function(req,res,next){ if bad permission raise error or print access denied page otherwise run next();}; 
app.get(checkpermissions,function(req,res,next){your code - res.end(data);}); 

Answer 3

我相信，訪問控制必須不依賴於REST API。 REST僅僅是一種傳遞方法，其細節可以非常快地改變，並且這不是唯一的單一傳遞方法，例如，我也可以創建傳統的HTML Web應用程序作爲傳遞方法。授權必須依賴於業務邏輯或換句話說域模型。因此，在您的情況下，授權必須位於REST API和業務邏輯之間，並且必須使用業務術語進行描述，而不是使用REST術語進行描述。在客戶端處理這個問題非常容易，因爲服務器只會發回每個響應所允許的鏈接，所以您在客戶端代碼中無所事事。現在如果你在服務器端有意大利麪代碼，那麼你有一個問題...