REST权限/角色管理

Question

实际上，我正在构建一个基于RESTFul API的node.js，并且我面临着一个问题。

域代码是编写的，我现在正在尝试管理这个应用程序的访问权限，我不知道如何处理。

实际上，我需要允许/限制对用户的重新源访问。实际上，我已经考虑过将权限存储在用户中的数组中，如下所示：

{
   userName:"foo",
   userMail:"foo@bar.com",
   userApiRightsAllowed:[
      {
         uri:"/site/1594656",
         verb:"post",
      },
      {
         uri:"/sites",
         verb:"get",
      }
   ]
}

在自定义中间件中，我检查用户权限是否包含req.url和req.verb。

如果可以的话，他可以进入重新来源。在另一种情况下，他被禁止了403。

问题

问题是当我需要获得/sites时。我授权用户获取/sites，但他没有访问/ site /65982这样的站点细节的权限。

但是在我的网站列表中，他会看到所有的站点和/站点/65982。

问题

以最小粒度管理API上访问权限的最佳方法是什么:资源和方法？

我怎样才能使我的代码工作，并且用户只能看到他能够查看的站点？

编辑:我正在使用一个MongoDb数据库

提前感谢

Answer 1

假设您使用的是express (基于标记)，sails.js是将应用程序的功能扩展到表示提供的基本REST功能之外的一个很好的选择。Sails有一些有用的附加组件来帮助管理角色、用户和权限：

• 风帆-许可
• 船帆