Vérification des rôles & amp; authentification avec Passport.js

Donc, je voudrais faire quelques routes dans une API qui vous montrera les différentes données de base sur le rôle de l'utilisateur, définies dans MongoDB. Voici un échantillon de ce que j'ai en ce moment, il fonctionne...

router.get('/test', passport.authenticate('bearer', {session: false}), function (req, res) {
    if (req.user.role == "premium") {
        return res.send('you can see this content');
    }
    else {
        return res.send('you can not see this content');
    }
})

Cependant, l'objectif final est de présenter au moins quelque chose à l'utilisateur, même si elles n'êtes pas connecté ou authentifié avec le bon type de rôle.

router.get('/test', passport.authenticate('bearer', {session: false}), function (req, res) {
    if (req.user.role == "premium") {
        return res.send('this is premium content');
    }
    else {
        //could be hit by another role, or no user at all
        return res.send([some truncated version of the premium content]);
    }
})

Qui est je pense que je ferais comprendre comment travailler, mais je ne sais pas comment spécifier le même itinéraire qui pourrait éventuellement être frapper sans aucune Autorisation de l'en-tête de la demande.

Est-ce possible dans le Passeport.js/Express?

source d'informationauteur

  1. 8

    Je vous suggère d'utiliser les codes d'état HTTP et un objet d'erreur, c'est une API commune de la convention et il permet à votre les utilisateurs de l'API pour savoir ce qui se passe et pourquoi:

    app.get('/premium-resource', function(req, res, next) {
  passport.authenticate('bearer', function(err, user) {
    if (user){
      if (user.role === 'premium'){
        return res.send(200,{userContent:'you are a premium user'});
      }else{
        return res.send(403,{
          'status': 403,
          'code': 1, //custom code that makes sense for your application
          'message': 'You are not a premium user',
          'moreInfo': 'https://myawesomeapi.io/upgrade'
        });
      }
    }else{
      return res.send(401,{
        'status': 401,
        'code': 2, //custom code that makes sense for your application
        'message': 'You are not authenticated.',
        'moreInfo': 'https://myawesomeapi.io/docs'
      });
    }
  })(req, res, next);
});

    Disclaimer: je travaille à Stormpath et nous avons mis beaucoup de pensée dans l'API d'authentification et de conception, nous avons vraiment une présentation sur le thème:

    https://stormpath.com/blog/designing-rest-json-apis/

  2. 7

    La solution est de limiter le contenu de la vue plutôt que de la route.

    router.get('/test', authenticationMiddleware, function(req, res){
    var premiumFlag = req.user.role;
    res.send('premiumontent', {role: premiumFlag});
});

    premiumContent.jade

    p This content is visible to all users

- if role === "premium"
    p this content is only visible to premium users
  3. 1

    La solution que j'ai trouvé ma réponse est d'utiliser une adaptation de la Passportjs.org de la documentation.

    Dans les itinéraires, j'ai besoin de renvoyer des données, si un utilisateur est connecté ou non je peux utiliser quelque chose comme:

    //Test to check for authentication
app.get('/login', function(req, res, next) {
  passport.authenticate('bearer', function(err, user, info) {
    if (user)
        //check user's role for premium or not
        if (user.role == "premium")
            return res.send('user is premium')
        else
            return res.send('user is not premium');
    else
        //return items even if no authentication is present, instead of 401 response
            return res.send('not logged in');
  })(req, res, next);
});