我正在尝试在restapi(expressjs/mysql)中对用户实现细粒度/细粒度权限。
我的web应用程序包含成员组。每个成员组都有一个管理员(用户)。
我认为jwt在这里不起作用,因为当声明存储在users jwt令牌中时,如果组的管理员更改了,那么老用户可能仍然对其令牌拥有无效的声明。
例如:
user1成为组g1的管理员
user1具有允许对组g1执行管理操作的token1。
user2成为组g1的新管理员。
user1的令牌仍然有效,并且包含允许对group1执行管理操作的声明。
如何在nodejs中实现每个对象级别的授权机制,其中用户->对对象执行操作->操作?
passportjs处理身份验证,但我找不到关于实现具有上述复杂性的授权的好信息。
将权限信息存储在数据库中并查询数据库并执行授权验证有意义吗?
暂无答案!
目前还没有任何答案,快来回答吧!