如何“限制所有者”但允许“管理”在羽毛中的作用

Question

我使用羽毛--权限和羽毛--身份验证--钩子来构建RBAC系统，但仍然无法实现。例如，我想要的是：

• 允许用户只查看/更新自己的帐户。
• 允许管理员查看/更新任何帐户。

  before: {
    all: [],
    find: [authenticate('jwt'), checkPermissions({roles: ['admin']})],
    get: [authenticate('jwt'), checkPermissions({roles: ['admin']}), hooks.restrictToOwner({ownerField: '_id'})],
    create: [hashPassword()],
    update: [hashPassword(), authenticate('jwt'), checkPermissions({roles: ['admin']}), hooks.restrictToOwner({ownerField: '_id'})],
    patch: [hashPassword(), authenticate('jwt'), checkPermissions({roles: ['admin']}), hooks.restrictToOwner({ownerField: '_id'})],
    remove: [authenticate('jwt'), checkPermissions({roles: ['admin']})]
  },

这样，管理员仍然不能查看/更新其他帐户。

有什么帮助吗？

Answer 1

我在feathers-permissions -> 有条件限制角色中找到了答案

此外，是的，最好使用现有的钩子，如feathers-hooks-common中的钩子。但是，如果这是不可行的，那么你总是可以创造你自己的钩子，以满足你的需要。