我想要实现的目标:我有一个模型来存储列表的所有者和已添加的成员。所有者和成员由对象表示。每个成员对象都包含一个权限字段——当一个成员被添加到列表中时,他们具有默认权限,由 SUGGEST 表示。列表的所有者可以稍后更改成员的权限。
我想在用户访问列表页面时通过路由传递用户的权限。
我不明白的是:我需要能够访问我的客户端 JavaScript 中的权限,因为我将使用这些权限来限制用户可以在他们拥有或属于的任何给定列表上执行的操作。在我的客户端 JavaScript 中,我将设置一个用户权限变量,在运行函数以更改列表之前,我会检查该变量。
您将如何处理用户权限?
您永远不应该仅使用客户端 javascript 来限制用户的访问权限,因为用户要克服您的限制唯一要做的就是编辑呈现的 javascript 文件。
你应该使用像 Pug 这样的模板库来只向用户呈现允许的选项,甚至在此之后你应该对受限控制器进行后端检查。
示例:仅当用户登录时才呈现个人资料链接。
// app.js
...
Router.get('/', (req, res, next) => {
res.render('indexPage', {loggedIn: true});
});
// indexPage.pug
html
head
//- ... head stuff
nav
if(loggedIn)
a.nav-item(href='/profile') Profile
else
a.nav-item(href='/signin') Sign In
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句