我想知道如何控制/限制不同用户对其存储在mongodb中的内容的访问(通过mongoose访问)。假设有一个数据模型可以存储用户的遗嘱。
我的方法是:
这在某种程度上是合理的,甚至可以节省吗?找不到最佳实践,所有示例基本上都以身份验证结尾。
使用可以覆盖第1步和第2步passport-local
,尽管手动实施也不太困难。
鉴于遗嘱既属于用户又属于两者willId
,userId
并且需要确定该用户是否应有权访问特定遗嘱文档,因此步骤3是合理的。
由于安全性是基于会话ID的,因此您显然应该使用HTTPS并使用httpOnly
和secure
会话cookie。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句