Verifica dei ruoli e autenticazione con Passport.js

Question

Quindi mi piacerebbe creare alcuni percorsi in un'API che mostrerà dati diversi in base al ruolo utente, definito in MongoDB. Ecco un campionario di ciò che ho in questo momento, funziona ...

router.get('/test', passport.authenticate('bearer', {session: false}), function (req, res) { 
    if (req.user.role == "premium") { 
     return res.send('you can see this content'); 
    } 
    else { 
     return res.send('you can not see this content'); 
    } 
}) 

Tuttavia, l'obiettivo finale è quello di presentare almeno qualcosa per l'utente, anche se non è registrato o autenticati con il giusto tipo di ruolo.

router.get('/test', passport.authenticate('bearer', {session: false}), function (req, res) { 
    if (req.user.role == "premium") { 
     return res.send('this is premium content'); 
    } 
    else { 
     // could be hit by another role, or no user at all 
     return res.send([some truncated version of the premium content]); 
    } 
}) 

Che Vorrei pensare che avrei capire come lavorare, ma non so come specificare lo stesso percorso, che forse potrebbe essere colpire senza intestazione di autorizzazione nella richiesta.

È possibile in Passport.js/Express?

Answer 1

vorrei suggerire di utilizzare HTTP codici di stato e un oggetto errore, questo è un convegno API comune e consente agli utenti API per sapere cosa sta succedendo e perché:

app.get('/premium-resource', function(req, res, next) { 
    passport.authenticate('bearer', function(err, user) { 
    if (user){ 
     if (user.role === 'premium'){ 
     return res.send(200,{userContent:'you are a premium user'}); 
     }else{ 
     return res.send(403,{ 
      'status': 403, 
      'code': 1, // custom code that makes sense for your application 
      'message': 'You are not a premium user', 
      'moreInfo': 'https://myawesomeapi.io/upgrade' 
     }); 
     } 
    }else{ 
     return res.send(401,{ 
     'status': 401, 
     'code': 2, // custom code that makes sense for your application 
     'message': 'You are not authenticated.', 
     'moreInfo': 'https://myawesomeapi.io/docs' 
     }); 
    } 
    })(req, res, next); 
}); 

Disclaimer: io lavoro a Stormpath e abbiamo messo un sacco di pensiero in autenticazione API e del design, abbiamo una veramente presentazione sul argomento:

https://stormpath.com/blog/designing-rest-json-apis/

Answer 2

La soluzione è limitare il contenuto nella vista anziché il percorso.

router.get('/test', authenticationMiddleware, function(req, res){ 
    var premiumFlag = req.user.role; 
    res.send('premiumontent', {role: premiumFlag}); 
}); 

premiumContent.jade

p This content is visible to all users 

- if role === "premium" 
    p this content is only visible to premium users 

Answer 3

La soluzione che ho trovato per la mia risposta è quella di utilizzare un adattamento della documentazione Passportjs.org.

Nelle rotte di cui ho bisogno per restituire i dati, se un utente è connesso o non riesco a usare qualcosa come:

// Test to check for authentication 
app.get('/login', function(req, res, next) { 
    passport.authenticate('bearer', function(err, user, info) { 
    if (user) 
     // check user's role for premium or not 
     if (user.role == "premium") 
      return res.send('user is premium') 
     else 
      return res.send('user is not premium'); 
    else 
     // return items even if no authentication is present, instead of 401 response 
      return res.send('not logged in'); 
    })(req, res, next); 
});