npm 包 @casl/mongoose 使用教程-JavaScript中文网-JavaScript教程资源分享门户

什么是 @casl/mongoose

@casl/mongoose 是 casl 的一部分，是一个使用 MongoDb 和 Express 进行后端开发的权限管理库，可以方便地对用户权限进行控制，防止未授权的用户进行非法操作。

安装

使用 npm 安装 @casl/mongoose：

npm install @casl/mongoose

使用

引入 @casl/mongoose 和 mongoose：

const { accessibleRecordsPlugin } = require('@casl/mongoose');
const mongoose = require('mongoose');

定义权限模型和资源模型：

-- -------------------- ---- -------
----- ---------------- - --- -----------------
  -------- - ----- ------- --------- ---- --
  ------- - ----- ------- --------- ---- --
  ------- - ----- ------- --------- ---- --
  ----------- - ----- ------- --------- ----- -
---

----- ------------- - --- -----------------
  ------ - ----- ------- --------- ---- --
  -------- - ----- ------- --------- ---- -
---

通过 accessibleRecordsPlugin 给资源模型添加权限控制：

ArticleSchema.plugin(accessibleRecordsPlugin);

定义用户和其所属的权限：

const UserSchema = new mongoose.Schema({
  name: { type: String, required: true },
  email: { type: String, required: true },
  permissions: { type: [PermissionSchema], required: false }
});

const User = mongoose.model('User', UserSchema);

创建角色：

const admin = { role: 'admin', permissions: [{ subject: 'Article', action: 'read', conditions: {} }, { subject: 'Article', action: 'create', conditions: {} }, { subject: 'Article', action: 'update', conditions: {} }, { subject: 'Article', action: 'delete', conditions: {} }] };
const user = { role: 'user', permissions: [{ subject: 'Article', action: 'read', conditions: {} }, { subject: 'Article', action: 'create', conditions: {} }] };

创建管理员角色的用户：

const adminUser = new User({ name: 'admin', email: 'admin@example.com', permissions: admin.permissions });

在需要进行权限控制的路由中使用 @casl/mongoose：

-- -------------------- ---- -------
----- - ----------------- - - --------------------------

-------------------- ----- ----- ---- -- -
  ----- - --- - - -------------------------
  
  ----- ---- - -- ------
  ----- -------- - ----- ---------------
  ------------------------------------ -------
---

在需要进行权限控制的查询中使用 @casl/mongoose：

-- -------------------- ---- -------
----- - ------------ - - --------------------------
----- - -------------- - - -------------------------

----- - --- - - --- -----------------

-- ----------
----- ---- - 

----- ----- - - ------- ------- -------- --------- --
----- ---- - ----- -----------------------------------------------------

总结

@casl/mongoose 可以方便地实现后端权限管理，使用上有一定的门槛，但是一旦掌握，可以提高开发效率，避免出现安全问题。

来源：JavaScript中文网，转载请注明来源 https://www.javascriptcn.com/post/108206