喂,你能帮我吗?
我正在尝试创建一个函数来保护POST和DELETE方法。
我遇到的问题是,如果我的应用程序的所有经过身份验证的用户都知道其他用户的帖子,则他们可以删除该用户的帖子。
在我的表关系中,用户与帖子具有一对多关系,而帖子具有每个属性都有一个用户的关系
我认为避免这种情况的最佳方法是以某种方式提取Headers令牌,并将其与保存每个帖子的用户ID进行比较
我正在使用sqlite数据库并与Strapi合作
在另一个api中,请在中间件中使用此模块,但是我不太清楚如何在satrapi中应用此模块,因此文档有点混乱
const jwt = require('jsonwebtoken');
/*==============
verify token
================*/
let verificarToken = (req, res, next) => {
let token = req.get('token')
/*res.json({
ok:true,
token: token
})*/
jwt.verify(token, process.env.SEED_TOKEN, (err, decoded) => {
if (err) {
return res.status(401).json({
ok: false,
err: "token invalido"
});
}
req.usuario = decoded.usuario;
next();
/* el next ejecuta la siguiente peticion luego de haber pasado el middleware*/
})
}
找到请求的用户之后,您可以执行以下操作(如上所述)
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句