Loopback 2.8: Проверить статус пользователя перед каждым запросом api

Question

Мне нужно проверить статус пользователя перед каждым запросом api и вернуть 403, если это неактивный пользователь.

Я попытался выполнить проверку в подстановочных beforeRemote, но я должен зарегистрировать его для каждой модели, к которой я хочу ограничить доступ.

Также можно зарегистрировать специальное промежуточное ПО, но req.accessToken не существует к этому моменту.

Существуют ли более эффективные способы ограничения доступа пользователей?

Answer 1

В качестве опции вы можете попробовать ввести новую роль ACTIVE_USER и использовать ACL для управления доступом. Некоторые ссылки для документации: roles и access control concepts.

Answer 2

Зарегистрировать роль резольвера. См. Мой пример здесь: https://github.com/strongloop/loopback-example-access-control/blob/master/server/boot/create-role-resolver.js

Answer 3

Как насчет использования простого промежуточного программного обеспечения для этого?

app.use(function checkIfUserIsActive(req, res, next) { 
if (!req.accessToken) { 
    // User not logged in 
    return next(); 
} 
app.models.UserModel.findById(req.accessToken.userId, function (err, user) { 
    if (err) { 
     // Error with finding the user 
     return next(err); 
    } 
    if (!user) { 
     return next(new Error('No user with this access token was found.')); 
    } 
    if (!user.active) { 
     return next(new Error('User is inactive.')); 
    } else { 
     return next(); 
    } 
}); 
});