在 Prisma 中安全地创建深度嵌套的对象
[英]Creating deeply nested object in Prisma securely
问题描述
我正在使用具有以下数据结构的 Prisma 和 Nextjs,并使用 Next-Auth 进行身份验证。
user
|-->profile
|-->log
|-->sublog
现在,CRUD 通过 Nextjs 上的 API 路由发送到数据库。 我想通过 API 安全地写入sublog 。
所以当我写这篇文章时,它是开放式的:
const sublog = await prisma.sublog.create({
data: {
name: req.body.name,
content: req.body.content,
log: {
connect: {
id: req.body.logId,
}
}
}
})
我可以从前端和后端访问用户会话以获取用户 ID。 但是我不确定如何使表单提交安全,只有拥有log的用户才能被允许提交sublog 。
关于如何在深度嵌套时安全地提交内容的任何想法?
PS 请注意,我可以打开和关闭任何在前端编辑/删除数据的组件——但这只是在前端,我想在 API 上保护它,这样即使客户端能够以某种方式访问表单中的表单不属于他们的log ,它仍然会从 API 推送错误,因为客户端不属于那里。
1 个解决方案
解决方案1
0 已采纳 2022-07-14 13:53:33
在允许执行prisma.sublog.create之前,您需要进行 prisma 查询来检查谁拥有log 。 Prisma 与所有权的概念无关——您需要自己添加并检查该逻辑。
const fullLog = await prisma.log.findUnique({
select: { // don't know what your model looks like, just guessing
id: true,
profile: {
select: {
userId: true
}
}
},
where: {
id: req.body.logId
}
});
// currentUserId = however you get the current user's id
if (fullLog && fullLog.profile.userId !== currentUserId) {
// throw an error
}
Prisma Client 更新一个表中的单个记录,其中相关表中的值 = true(不创建相关记录)
[英]Prisma Client update single record in one table where value in related table = true (Not creating related records)
管理正在运行的 Prisma Client 实例的 Prisma 问题
[英]Prisma Issue of managing instances of Prisma Client actively running
棱镜生成:无法解析依赖树(Prisma + Postgresql + NextJS)
[英]prisma generate : unable to resolve dependency tree (Prisma + Postgresql + NextJS)
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
如何在 React NextJS Prisma 页面中进行嵌套阅读
Prisma Client 更新一个表中的单个记录,其中相关表中的值 = true(不创建相关记录)
从深度嵌套的组件更新状态而不重新渲染父组件
在 Prisma 中建模评级系统
在 Next.js 中创建动态和嵌套路由
使用 Prisma Dockerize NextJS 应用程序
棱镜中的多对多关系
更新 ReactJs 数组中的嵌套 object
管理正在运行的 Prisma Client 实例的 Prisma 问题
棱镜生成:无法解析依赖树(Prisma + Postgresql + NextJS)
相关标签