Каковы хорошие стратегии для авторизации на основе ролей в express.js? Особенно с экспресс-ресурсом?
С Express-resource никаких обработчиков нет, поэтому я думаю, что есть три варианта:
- Использовать промежуточное программное обеспечение
- Передайте функцию авторизации ресурсу и проверьте каждый запрос ресурса отдельно
- Проверить авторизацию с каждым запросом сразу после аутентификации
Есть ли другие решения?
Авторизация на основе групп/ролей - довольно античный подход. Существуют ли новые методы контроля доступа? Если нет, как можно применить авторизацию на основе ролей к node.js? Где хранить отношения группового правила (с NoSQL/CouchDB/Redis)?
В качестве примера, структура:
/
/forums
/forums/threads
Каждый ресурс с индексом, новым, создаёт, показывает, редактирует обновление и уничтожает. Некоторые люди могут редактировать/удалять и т.д. Темы и форумы, некоторые люди не должны.