सीएएसएल के साथ एक्सप्रेसजेज में प्रवेश प्रबंधन

प्रमाणीकरण का समर्थन करने वाले आधुनिक अनुप्रयोगों में, हम अक्सर उपयोगकर्ता को दिखना चाहते हैं, जो उसकी भूमिका पर निर्भर करता है। उदाहरण के लिए, एक अतिथि उपयोगकर्ता एक लेख देख सकता है, लेकिन केवल एक पंजीकृत उपयोगकर्ता या व्यवस्थापक इस लेख को हटाने के लिए एक बटन देखता है।

इस दृश्यता को प्रबंधित करना बढ़ती भूमिकाओं के साथ एक पूर्ण दुःस्वप्न हो सकता है। आपने शायद इस तरह कोड लिखा या देखा है:

if (user.role === ADMIN || user.auth && post.author === user.id) { res.send(post) } else { res.status(403).send({ message: 'You are not allowed to do this!' }) } 

इस तरह के कोड को पूरे अनुप्रयोग में वितरित किया जाता है और आमतौर पर एक बड़ी समस्या बन जाती है जब ग्राहक आवश्यकताओं को बदलता है या अतिरिक्त भूमिकाएं जोड़ने के लिए कहता है। अंत में, आपको ऐसे सभी if-s से गुजरने और अतिरिक्त चेक जोड़ने की आवश्यकता है।

इस लेख में, मैं CASL नामक एक पुस्तकालय का उपयोग करके Expressjs एपीआई में अनुमति प्रबंधन को लागू करने का एक वैकल्पिक तरीका दिखाऊंगा । यह एक्सेस कंट्रोल को बहुत सरल करता है और आपको पिछले उदाहरण को इस तरह से लिखने की अनुमति देता है:

 if (req.ability.can('read', post)) { res.send(post) } else { res.status(403).send({ message: 'You are not allowed to do this!' }) } 

CASL के लिए नया? मैं पढ़ने की सलाह देता हूं कि CASL क्या है?

नोट: यह लेख मूल रूप से मध्यम पर प्रकाशित हुआ था ।

डेमो ऐप

एक परीक्षण अनुप्रयोग के रूप में, मैंने ब्लॉग के लिए काफी सरल REST API बनाया। एप्लिकेशन में 3 इकाइयां ( User , Post और Comment ) और 4 मॉड्यूल (प्रत्येक इकाई के लिए एक मॉड्यूल और प्राधिकरण सत्यापन के लिए एक अन्य) शामिल हैं। सभी मॉड्यूल src/modules फ़ोल्डर में पाए जा सकते हैं।

एप्लिकेशन को मानस मॉडल, पासपोर्ट प्रमाणीकरण और CASL- आधारित प्राधिकरण (या अभिगम नियंत्रण) का उपयोग करता है। एपीआई का उपयोग करना, उपयोगकर्ता कर सकता है:

• सभी लेख और टिप्पणियाँ पढ़ें
• एक उपयोगकर्ता बनाएं (यानी, पंजीकरण करें)
• अधिकृत होने पर अपने स्वयं के लेख (बनाएं, संपादित करें, हटाएं) प्रबंधित करें
• अधिकृत होने पर व्यक्तिगत जानकारी अपडेट करें
• अधिकृत होने पर अपनी टिप्पणियों का प्रबंधन करें

इस एप्लिकेशन को स्थापित करने के लिए, इसे केवल npm install से क्लोन करें और npm install और npm start । आपको MongoDB सर्वर को शुरू करने की भी आवश्यकता है, आवेदन mongodb://localhost:27017/blog जोड़ता है mongodb://localhost:27017/blog । सब कुछ तैयार होने के बाद, आप थोड़ा खेल सकते हैं, और इसे और अधिक मज़ेदार बनाने के लिए db/ फ़ोल्डर से मूल डेटा आयात कर सकते हैं:

 mongorestore ./db 

वैकल्पिक रूप से, आप README प्रोजेक्ट फ़ाइल के निर्देशों का पालन कर सकते हैं या मेरे पोस्टमैन संग्रह का उपयोग कर सकते हैं।

चाल क्या है?

सबसे पहले, CASL का महान लाभ यह है कि यह आपको सभी उपयोगकर्ताओं के लिए एक ही स्थान पर पहुँच अधिकार निर्धारित करने की अनुमति देता है! दूसरे, CASL इस बात पर केंद्रित है कि उपयोगकर्ता कौन है, लेकिन वह क्या कर सकता है, अर्थात्। अपनी क्षमताओं पर। यह आपको अनावश्यक क्षमताओं के बिना विभिन्न क्षमताओं या उपयोगकर्ता समूहों को इन क्षमताओं को वितरित करने की अनुमति देता है। इसका अर्थ है कि हम अधिकृत और अनधिकृत उपयोगकर्ताओं के लिए पहुँच अधिकार पंजीकृत कर सकते हैं:

 const { AbilityBuilder, Ability } = require('casl') function defineAbilitiesFor(user) { const { rules, can } = AbilityBuilder.extract() can('read', ['Post', 'Comment']) can('create', 'User') if (user) { can(['update', 'delete', 'create'], ['Post', 'Comment'], { author: user._id }) can(['read', 'update'], 'User', { _id: user._id }) } return new Ability(rules) } const ANONYMOUS_ABILITY = defineAbilitiesFor(null) module.exports = function createAbilities(req, res, next) { req.ability = req.user.email ? defineAbilitiesFor(req.user) : ANONYMOUS_ABILITY next() } 

अब ऊपर लिखे कोड को पार्स करें। AbilityBuilder -a का एक उदाहरण defineAbilitiesFor(user) AbilityBuilder में बनाया गया है, इसकी एक्सट्रैक्ट विधि इस ऑब्जेक्ट को 2 सरल कार्यों में विभाजित can और rules का एक सरणी और cannot (इस कोड में उपयोग cannot किया जा सकता है)। अगला, कॉल करने के लिए कार्य can है, हम यह निर्धारित करते हैं कि उपयोगकर्ता क्या कर सकता है: पहला तर्क कार्रवाई (या कार्यों की एक सरणी) को पारित करता है, दूसरा तर्क उस वस्तु का प्रकार है जिस पर कार्रवाई (या प्रकार की एक सरणी) की जाती है, और स्थिति ऑब्जेक्ट को तीसरे वैकल्पिक तर्क के रूप में पारित किया जा सकता है। स्थिति ऑब्जेक्ट का उपयोग तब किया जाता है जब कक्षा के एक उदाहरण पर एक्सेस अधिकारों की जांच करते हैं, अर्थात। यह जाँचता है कि क्या post ऑब्जेक्ट की author संपत्ति और user._id समान हैं, यदि वे हैं, तो true वापस आ जाएगा, अन्यथा false । स्पष्टता के लिए, मैं एक उदाहरण दूंगा:

 // Post is a mongoose model const post = await Post.findOne() const user = await User.findOne() const ability = defineAbilitiesFor(user) console.log(ability.can('update', post)) //  post.author === user._id,   true 

अगला, if (user) का उपयोग करते हुए if (user) हम अधिकृत उपयोगकर्ता के लिए उपयोग अधिकार निर्धारित करते हैं (यदि उपयोगकर्ता अधिकृत नहीं है, तो हमें नहीं पता कि वह कौन है और हमारे पास उपयोगकर्ता के बारे में जानकारी के साथ कोई वस्तु नहीं है)। अंत में, हम Ability क्लास का एक उदाहरण देते हैं, जिसकी मदद से हम एक्सेस अधिकारों की जाँच करेंगे।

अगला, हम ANONYMOUS_ABILITY स्थिरांक बनाते हैं, यह अनधिकृत उपयोगकर्ताओं के लिए Ability वर्ग का एक उदाहरण है। अंत में, हम एक्सप्रेस मिडलवेयर निर्यात करते हैं, जो एक विशिष्ट उपयोगकर्ता के लिए Ability इंस्टेंस बनाने के लिए जिम्मेदार है।

परीक्षण एपीआई

आइए देखें कि पोस्टमैन के साथ क्या हुआ। पहले आपको पहुँच प्राप्त करने की आवश्यकता है, इसके लिए एक अनुरोध भेजें:

 POST /session { "session": { "email": "casl@medium.com", "password": "password" } } 

आपको प्रतिक्रिया में ऐसा कुछ मिलता है:

 { "accessToken": "...." } 

इस टोकन को Authorization header में डाला जाना चाहिए और बाद के सभी अनुरोधों के साथ भेजा जाना चाहिए।

अब लेख को अपडेट करने का प्रयास करते हैं।

 PATCH http://localhost:3030/posts/597649a88679237e6f411ae6 { "post": { "title": "[UPDATED] my post title" } } 200 Ok { "post": { "_id": "597649a88679237e6f411ae6", "updatedAt": "2017-07-24T19:53:09.693Z", "createdAt": "2017-07-24T19:25:28.766Z", "title": "[UPDATED] my post title", "text": "very long and interesting text", "author": "597648b99d24c87e51aecec3", "__v": 0 } } 

सब कुछ अच्छा काम करता है। लेकिन क्या होगा अगर हम किसी और के लेख को अपडेट करें?

 PATCH http://localhost:3030/posts/59761ba80203fb638e9bd85c { "post": { "title": "[EVIL ACTION] my post title" } } 403 { "status": "forbidden", "message": "Cannot execute \"update\" on \"Post\"" } 

एक त्रुटि हो गई! जैसी उम्मीद थी :)

अब कल्पना करते हैं कि हमारे ब्लॉग के लेखकों के लिए हम एक पेज बनाना चाहते हैं जहाँ वे सभी पोस्ट देख सकें जिन्हें वे अपडेट कर सकते हैं। विशिष्ट तर्क के दृष्टिकोण से, यह मुश्किल नहीं है, आपको बस उन सभी लेखों का चयन करने की आवश्यकता है जिनमें लेखक उपयोगकर्ता के बराबर है। लेकिन हमने पहले से ही CASL की मदद से इस तरह के तर्क को पंजीकृत कर लिया है, अतिरिक्त अनुरोध लिखे बिना डेटाबेस से ऐसे सभी लेखों को प्राप्त करना बहुत सुविधाजनक होगा, और यदि अधिकार बदलते हैं, तो आपको अनुरोध को बदलना होगा - अतिरिक्त काम :)।

सौभाग्य से, CASL के पास एक अतिरिक्त npm पैकेज है - @ casl / mongoose । यह पैकेज आपको विशिष्ट अनुमति के अनुसार MongoDB से रिकॉर्ड क्वेरी करने की अनुमति देता है! मानगो के लिए, यह पैकेज एक प्लगइन प्रदान करता है जो मॉडल में accessibleBy(ability, action) विधि जोड़ता है। इस पद्धति का उपयोग करते हुए, हम डेटाबेस से रिकॉर्ड का अनुरोध भी करेंगे ( CASL प्रलेखन और README पैकेज फ़ाइल में इसके बारे में और पढ़ें)।

यह ठीक उसी तरह है जैसे /posts लिए handler कार्यान्वित किया /posts है (मैंने यह भी निर्दिष्ट करने की क्षमता जोड़ी कि आपको किन अनुमतियों की जाँच करने की आवश्यकता है):

 Post.accessibleBy(req.ability, req.query.action) 

इसलिए, पहले बताई गई समस्या को हल करने के लिए, बस पैरामीटर action=update जोड़ें:

 GET http://localhost:3030/posts?action=update 200 Ok { "posts": [ { "_id": "597649a88679237e6f411ae6", "updatedAt": "2017-07-24T19:53:09.693Z", "createdAt": "2017-07-24T19:25:28.766Z", "title": "[UPDATED] my post title", "text": "very long and interesting text", "author": "597648b99d24c87e51aecec3", "__v": 0 } ] } 

निष्कर्ष में

CASL के लिए धन्यवाद, हमारे पास एक्सेस अधिकारों को प्रबंधित करने का एक बहुत अच्छा तरीका है। मुझे यकीन है कि प्रकार के निर्माण से अधिक है

 if (ability.can('read', post)) ... 

ज्यादा साफ और आसान

 if (user.role === ADMIN || user.auth && todo.author === user.id) ... 

CASL के साथ, हम स्पष्ट कर सकते हैं कि हमारा कोड क्या करता है। इसके अलावा, इस तरह के चेक निश्चित रूप से हमारे आवेदन में कहीं और उपयोग किए जाएंगे, और यह यहां है कि CASL कोड दोहराव से बचने में मदद करेगा।

मुझे आशा है कि आप CASL के बारे में पढ़ने में उतने ही इच्छुक थे जितना कि इसे बनाने में मेरी दिलचस्पी थी। CASL के पास बहुत अच्छे दस्तावेज़ हैं , आप शायद वहाँ बहुत सारी उपयोगी जानकारी पाएँगे, लेकिन बेझिझक सवाल पूछ सकते हैं कि क्या गटर चैट में और गीथब पर एक तार जोड़ने के लिए;)