node权限控制模块node_acl的应用

最新推荐文章于 2024-05-09 09:46:53 发布
最新推荐文章于 2024-05-09 09:46:53 发布
阅读量7.9k 收藏 11
点赞数 5
分类专栏: node
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011500781/article/details/75274319
版权

前言

  • 一个应用必不可少的部分:登录认证(jaredhanson/passport)、权限控制(OptimalBits/node_acl)
  • 由于node_acl中文资料较少,本文给出一个完整的简单示例,便于初学者理解和学习
  • 最后有动态的效果图给出,更直观的展示node_acl的使用效果

知识点

  • 示例中的路由并未采用如:app.put('/blogs/:id', function(req, res, next){//…}的restful风格架构
  • 使用mongoose连接数据库
  • 初始化所有角色的权限
  • 建立父级角色(父级角色拥有子级角色所有权限)
  • 为用户添加角色(添加后,用户拥有该角色的所有权限)
  • es6模板字符串
  • 创建数据库schema模型
  • 为schema添加静态方法
  • 使用session保持会话
  • 自定义node_acl的认证失败后的错误信息
  • 使用错误中间件

示例

Promise = require('bluebird')
var express = require('express')
var mongoose = require('mongoose')
var session = require('express-session')
var MongoStore = require('connect-mongo')(session)
var acl = require('acl')

var app = express()

/*
 * ------------------------------------------------
 * 数据库
 */
mongoose.Promise = Promise
mongoose.connect('127.0.0.1:30001/blog')// 连接你自己的数据库
.then(() => {// 这里要注意,一定要在连接数据库之后进行权限的操作,否则不生效
    roles()// 权限
    routes()// 路由
})

app.use(session({
    secret: 'sign',
    resave: true,
    saveUninitialized: true,
    store: new MongoStore({mongooseConnection: mongoose.connection}),
}))

/*
 * --------------------------------------------------
 * 权限
 */
function roles() {
    acl = new acl(new acl.mongodbBackend(mongoose.connection.db, 'acl_'))
    // 为guestuseradmin角色添加权限
    acl.allow([
        {
            roles: 'guest',
            allows: [
                {resources: '/article/get', permissions: '*'},
            ],
        },
        {
            roles: 'user',
            allows: [
                {resources: '/article/edit', permissions: '*'},
            ],
        },
        {
            roles: 'admin',
            allows: [
                {resources: '/article/del', permissions: '*'},
            ],
        }
    ])
    acl.addRoleParents('user', 'guest')// user角色拥有guest角色所有的权限
    acl.addRoleParents('admin', 'user')// admin角色拥有user角色所有的权限
}

/*
 * --------------------------------------------------
 * 路由
 */
function routes() {
    // 渲染主页面
    app.all('/', (req, res, next) => {
        var html = `
            <div>
                <input class="name" type="text" placeholder="输入用户名" value="${Date.now()}" autocomplete="off">
                <button class="add">创建用户</button>
                <p>guest角色可以访问/article/get,user角色可以访问/article/edit,admin角色可以访问/article/del</p>
                <p>默认情况下,访问1、2、3都会被拒绝</p>
                <p>创建用户后,会自动给新创建的用户添加guest和 user角色,所以允许访问1、2</p>
                <p>点击4后,删除了用户的user角色,只能访问1了</p>
                <p>
                    <span>1.</span>
                    <a href="/article/get" target="_blank">访问/article/get</a>
                </p>
                <p>
                    <span>2.</span>
                    <a href="/article/edit" target="_blank">访问/article/edit</a>
                </p>
                <p>
                    <span>3.</span>
                    <a href="/article/del" target="_blank">访问/article/del</a>
                </p>
                <p>
                    <span>4.</span>
                    <a href="/user/del" target="_blank">删除用户的user角色</a>
                </p>
            </div>
            <script> window.onload = function() { document.querySelector('.add').onclick = function() { window.open('/user/add?name='+ document.querySelector('.name').value) } } </script>
        `
        res.send(html)
    })


    var User = schema()// 获取用户模型实例
    // 添加角色
    app.all('/user/add', (req, res, next) => {
        User.add(req.query)
        .then((user) => {
            var _id = user._id.toString()// 注意_id默认是object类型
            req.session.userId = _id// 写入session,标识该用户
            acl.addUserRoles(_id, ['guest', 'user'])// 为用户添加guest和user的角色(那么用户就拥有了guest和user的权限)
            res.send({message: '添加用户角色成功'})
        })
        .catch((e) => {
            res.send({message: e.message})
        })
    })
    // 删除角色
    app.all('/user/del', (req, res, next) => {
        acl.removeUserRoles(req.session.userId, 'user')
        res.send({message: '删除用户角色成功'})
    })
    // 访问article
    app.all('/article/get', authentication, (req, res, next) => {
        res.send({message: '/article/get'})
    })
    // 编辑article
    app.all('/article/edit', authentication, (req, res, next) => {
        res.send({message: '/article/edit'})
    })
    // 删除article
    app.all('/article/del', authentication, (req, res, next) => {
        res.send({message: '/article/del'})
    })
    app.use(errorhandler)
}

/*
 * --------------------------------------------------
 * schema
 */
function schema() {
    var schema = new mongoose.Schema({
        name: {
            type: String,
        },
    })

    schema.statics = {
        add: function(obj) {
            return this
            .create(obj)
        },
    }

    return mongoose.model('User', schema);
}

/*
 * --------------------------------------------------
 * 中间件
 */
// 认证中间件
var authentication = (req, res, next) => {
    var userId =req.session.userId || ''

    if(userId) {
        acl.isAllowed(userId, req.path, '*')
        .then(allowed => {
            if(allowed) {
                next()
            }else {
                next('权限不足')
            }
        })
        .catch((e) => {
            next(e.message)
        })
    }else {
        next('请登录')
    }

}
// 错误中间件
var errorhandler = (e, req, res, next) => {
    res.send({message: e})
}

/*
 * --------------------------------------------------
 * 开启服务
 */
app.listen(3001, () => {
    console.log('server...')
})

解释


  • 打开http://127.0.0.1:3000/可以看到
    这里写图片描述
  • 数据库结构
    这里写图片描述
  • 创建用户前访问接口(此时是未登录状态,没有任何权限)
    这里写图片描述
  • 创建用户后访问接口(新用户自动添加guest和user角色,可访问1、2)
    这里写图片描述
  • 删除user角色后(只能访问1)
    这里写图片描述

icompuiz/express-mongoose-acl
Running ‘node_acl’ with mongoose on ExpressJS
RBAC角色权限设计思路

vcxiaohan2
关注
  • 5
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
NODE ACL - NODE权限管理 - 功能探索
maggie03230的专栏
08-04 6583
Node ACL 功能探索 NODE ACL github项目地址 :https://github.com/OptimalBits/node_acl 功能列表
node实现后台权限管理系统
anhezhen6831的博客
08-27 1848
本文面向的是node初学者,目标是搭建一个基础的后台权限系统。使用的node框架是上手最简单的express,模板是ejs,这些在node入门的书籍中都有介绍说明,所以应该是难度较低的。 对于node初学者来说,可以先尝试搭建一个blog,单用户的或者多用户的都可以。cnodejs论坛是我学的第一个源码,还是很经典的。但是由于开发比较早,基于nodev4版本,很多后面新加的特性都未使用,...
mongoDB-acl-nodejs:一个非常简单的Acl模块,用于在应用程序内存和MongoDB中使用的NodeJS
05-01
mongoDB-acl-nodejs 一个非常简单的Acl模块,用于在应用程序内存和MongoDB中使用的NodeJS 我创建此模块是因为我需要使用MongoDB的非常简单的Acl模块 功能说明 Acl.init(选项,回调) -options :对象用于连接到您的mongo数据库: dbAddress :字符串,数据库地址 port : Int / String ,数据库使用的端口 dbName : String ,数据库名称 callback :(可选)连接到数据库时调用的函数 Acl.addRole(角色名称,回调) roleName : String ,新角色的名称 callback : callback :(可选)添加新角色时调用的函数 Acl.addRessource(ressourceName,回调) ressourceName : String ,新资源的名称
node_acl用法示例
朱明代月的博客
05-30 2564
需要用nodejs实现用户访问控制,有一个node_acl的包可以提供ACL功能,但是没找到什么资料。github上有一个node_acl的demo,翻译一下造福群众。原文地址在这里https://github.com/OptimalBits/node_acl/issues/38 举一个图书的例子,页面路由如下:/books /books/:bookId /books/:bookId/pages
node_acl 权限管理路径通配
weixin_33705053的博客
05-04 459
最近做一个基于nodejs权限管理,查阅了一两天,发现大致是这样的:passportjsnode-oauthrbacnode_aclexpress_aclconnect-roles 需求 按照模块,页面,API等级别做权限控制,暂时不需要做到按钮级别 主要程序开发完毕,需要侵入少 存储主要考虑redis 自己开发管理页面,方便自定义和维护 选取原则...
node.js+express+mongoose项目实战--node acl API
dzjin的博客
04-25 356
NODE ACL - Access Control Lists for Node This module provides a minimalistic ACL implementation inspired by Zend_ACL. When you develop a web site or application you will soon notice that sessions are ...
ACLNode.js的访问控制列表和支持类
02-12
访问控制 自从创建此软件包以来,Northscaler已收购了 。 此模块将不会进一步开发。 相反,开发将在继续进行。 您可以在查看Northscaler的所有公共Node.js模块。 该库使您可以在访问控制列表(ACL)中维护安全信息。 确定访问权限需要四个元素: 主体:试图对安全对象执行某些操作的参与者,用户或系统。 安全的:受保护的事物或受其控制的事物。 action :对安全对象执行的操作。 该库定义了最少的,但是您可以定义自己的动作。 访问控制项:将主体,安全性和操作与“授予的”布尔值或其他某种策略绑定在一起的事物。 一些系统在授予意义上将其称为“权限”,“权利”或“授予”,在拒绝意义上将其称为“拒绝”,“反权限”或“否定许可”。 我们使用一个更通用的术语“访问控制项”,它可以表示允许或拒绝。 这个模块的主要出口是被称为类Acl ,其具有审讯方法grants & de
php acl权限管理,nodejs acl的用户权限管理详解
weixin_36203080的博客
04-11 261
这篇文章主要介绍了nodejs acl的用户权限管理详解,现在分享给大家,也给大家做个参考。说明Q: 这个工具用来做什么的呢A: 用户有不同的权限,比如管理员,vip,普通用户,每个用户对应访问api,页面都不一样nodejs有两个比较有名的权限管理模块 一个是acl 一个是rbac 综合对比了一下最终在做项目的时候选择了acl功能列表:addUserRoles //给某用户添加角色removeU...
推荐一款强大的Node.js访问控制列表库 - NODE ACL
最新发布
gitblog_00027的博客
05-09 259
推荐一款强大的Node.js访问控制列表库 - NODE ACL 项目地址:https://gitcode.com/OptimalBits/node_acl 在开发Web应用或网站时,简单的会话管理往往不足以保护所有资源免受恶意用户的攻击。对不同用户的内容进行权限划分是一个更为复杂但至关重要的任务。这就是NODE ACL发挥作用的地方。 项目介绍 NODE ACL 是一个受到Zend_ACL启发的...
Zookeeper ACL(使用node-zookeeper-client)
金禅的专栏
07-29 5523
再分布式系统中,ACL(Access Control)十分重要;Zookeeper也提供了十分好用的ACL接口,下面我记录一下在nodejs下如何实现zookeeper的访问控制。     Zookeeper的ACL通常表示为:Scheme:Id:Permission,即Scheme,Id,Permission三个部分。其中,Scheme表示使用何种方式来进行访问控制,Id代表用户,Perm
express-acl:这是一个快速模块,使您能够轻松实施ACL
05-13
Express ACL Express Access Control列表(express-acl)使您可以管理对Express服务器的请求。 它利用ACL规则来保护您的服务器免受未经授权的访问。 ACL定义授予哪些用户组访问权限,以及他们对指定资源的访问类型。 当收到针对资源的请求时, express-acl检查相应的ACL策略,以验证请求者是否具有必要的访问权限。 什么是ACL规则 ACL是一组规则,用于告诉express-acl如何处理针对特定资源的服务器请求。 可以将它们想象为控制您的流量在应用中的流动方式的路标或交通信号灯。 ACL规则以JSON或yaml语法定义。 重要的 资源属性已使用字符串路线发生变化,这种变化是为了支持subrouting功能,如果这意味着你的资源是users这给访问开始与用户的所有路线,应该改为users/* 。 星号告知包裹匹配以users开头的所有路
node_acl:节点应用程序的访问控制列表
02-20
NODE ACL-节点的访问控制列表 该模块提供了受Zend_ACL启发的简约ACL实现。 当您开发网站或应用程序时,您很快会注意到会话不足以保护所有可用资源。 避免恶意用户访问其他用户的内容被证明比预期的要复杂得多。 ACL可以灵活,优雅地解决此问题。 创建角色并将角色分配给用户。 有时,甚至可能为每个用户创建一个角色,以获得最大可能的粒度,而在其他情况下,您将为星号授予管理员某种功能。 模块中内置了基于Redis,MongoDB和In-Memory的后端。 还有其他第三方的后端,比如为主,和 。 还有另一种支持正则内存后端。 跟随获取有关此库的新闻和更新。 状态 特征 用户数 的角色 层次结构 资源 用于保护资源的快速中间件。 具有良好的单元测试覆盖范围的可靠实施。 安装 使用npm: npm install acl 文献资料 例子 通过要求acl模块并使用有效的后端实例对
express-jwt-acl-mongoose-starter:ES6中编写的具有JWT身份验证(护照,passport-jwt),访问控制列表(node_acl)和猫鼬的express的基本设置
02-03
Express-JWT-ACL猫鼬启动器 ES6中编写的具有JWT身份验证(护照,passport-jwt),访问控制列表(node_acl)和猫鼬的基本设置。 要求 Node.js> = 6.x MongoDB 认证方式 身份验证基于json网络令牌。 passport-jwt策略用于处理电子邮件/密码身份验证。 成功登录后,将生成的令牌发送给请求者。 要访问受保护的路由,请求者必须在标头请求中发送令牌。 API 注册: /api/signup POST /api/signup Host: localhost:3000 Content-Type: application/json { "email": "example@example.com", "password": "password123" } 登录: /api/login POST /api/login Host: localhost:3000 Content-Type: application/json { "email": "example@example.com", "passwo
nodejs acl的用户权限管理详解
10-18
主要介绍了nodejs acl的用户权限管理详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Node.js-一个授权库支持Node.js中的ACLRBACABAC等访问控制模型
08-10
一个授权库,支持Node.js中的ACL,RBAC,ABAC等访问控制模型
node用户权限管理设计
weixin_43756315的博客
08-18 3427
大部分管理系统都区分了很多模块,因各部门之间分工协作展示内容和所用功能都不同,所以一个健壮的后台管理项目离不开权限管理,本文旨在小白也可以通过+搭建一个简单的用户权限管理系统。......
nodejs的用户权限管理——acl.md
weixin_33834628的博客
03-13 5845
acl文档 说明 Q: 这个工具用来做什么的呢 A: 用户有不同的权限,比如管理员,vip,普通用户,每个用户对应访问api,页面都不一样 nodejs有两个比较有名的权限管理模块 一个是acl 一个是rbac 综合对比了一下最终在做项目的时候选择了acl 使用方法 建立起配置文件 用户登录后分配相应的权限 需要控制的地方使用acl做校检 配置文件 const Acl = require('a...
ACL权限分配
Kr的博客
09-26 1110
ACL是什么呢? ACL(Access Control List),访问控制列表。 用一个例子来说明它有什么用: 假设我有一个项目文件夹,我和我的开发团队Kr对该目录均具备 rwx 的权限,因为我该文件夹下有源码等,所以不能对外开放,对其他用户的权限为0,即我的文件夹目录为 drwxrwx---; 但是有一天,我的一个很好的朋友poty想要看一下我的项目,然而我不好意思拒绝,这个时候通常有三...
选择适合的Node.js授权认证策略
热门推荐
chszs的专栏
05-03 1万+
选择适合的Node.js授权认证策略作者:chszs,转载需注明。博客主页:http://blog.csdn.net/chszs英文原文:https://stormpath.com/blog/choosing-nodejs-authentication-strategy/Node.js正在兴起!我从2010年就开始使用Node工作,那个时侯我看着它从一个很小的个人项目成长为一个全功能的、能够让现代
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值