如何在sails.js中创建动态策略

Question

我一直致力于一个项目，我需要在sails.js中根据访问权限/级别创建和分配策略

每个用户都可以访问低于其级别的所有级别，例如admin具有级别9，并且他可以访问级别9以下的所有级别

目前在风帆中存储所有策略

API /政策

文件夹并分配给控制器

配置/ policies.js

module.exports.policies = {

UserController: {
    "create": ['canCreate'],
    "list": ['canRead'],
    "show": ['canRead'],
},
AuthController: {
    '*': true,
}};

我的问题是如何根据db中的访问级别制定动态策略

我已经google了它，但没有发现如何在sails.js中创建动态策略，所以发布在这里。

感谢您对此的帮助。

谢谢

Answer 1

查看sails-permissions 。

sails.js和Waterline的综合用户权限和权利系统。 支持使用passport.js进行用户身份验证，基于角色的权限，对象所有权和行级安全性。

Answer 2

一种简单的方法是为每个访问级别创建一个策略。

policies / level01.js policies / level02.js等。 。 。

您的策略文件将检查其会话/令牌，以确保它们符合该策略的条件。

政策/ level01.js

module.exports = function(req,res,next){
 if(req.session.accessLevel = 1) return next();
 return res.forbidden();
}

然后在你的配置中

module.exports.policies = {
UserController: {
    "create": ['policyXX.js'],
    "list": ['policyXX.js'],
    "show": ['policyXX.js'],
},
AuthController: {
    '*': true,
}};

从这样的事情开始，可以熟悉这些政策的工作，并从那里建立起来。 了解并准确理解您的安全性如何工作始终非常重要。

Answer 3

@Travis Webb的解决方案很不错。 您还可以根据需要创建模型角色和由关系链接的模型权限（一对多，多对多....），然后使用以下策略过滤它们：

例：

module.exports = function isAdmin (req, res, next) {
    if (typeof req.session.User != "undefined") {
    User.findOne(req.session.User.id).populate('roles').exec(function(err,user){
           if(err) return res.forbidden('You are not permitted to perform this action.');
           if(!user) return res.redirect('/user/new');
           for(var i in user.roles){
                if(user.roles[i]['name'] == 'ROLE_ADMIN'){
                    return next();
                }
           }
           return res.redirect('/user/show/'+req.session.User.id);
        });
    } else {
        return res.redirect('/session/new');
    }
};

最好的祝福

Answer 4

一年半之后，如果有人遇到这个问题，那么风帆似乎是一个很好的解决方案。

RabbitController: {
    nurture: must().be.a('rabbit').mother,
    feed: [must().be.nice.to('rabbits'), must().have('rabbit').food]
},

免责声明：我自己没有用过它。