Node.js 中的 RESTful API - 是否可以通过授权进行过滤

Question

我有一个 Web 应用程序和一个 RESTful API 来与数据库通信。 Web 应用程序的前端使用 Angular HTTP 向后端发布/获取/放置，后者反过来处理身份验证，向 api 发布/获取/放置并返回结果。后端通过 JWT 将自己认证为 API 的管理员，但使用基于 cookie 的会话对用户进行身份验证。因此，在某种程度上，API 是无状态的，但 Web 服务器使用状态。

我一直在寻找具有授权机制以根据用户过滤查询结果的选项。例如，我有一个问题端点，我返回一个仅由登录用户所在公司创建的问题列表。

1-我一直在web服务器上做（基本上是过滤）：

router.get('/questions', passportConf.isAuthenticated, function(req, res) {
    restler.get(process.env.API_URL + '/questions/?organisation=' + req.user.organisation._id).on('complete', function(questions) {
      res.json({
        data: questions
      });
    });
});

2- 但是另一个选项是嵌套在用户组织端点下的 put questions 端点，例如：

/user/organisation/questions

3- 或者基本上我可以将用户放在向 API 发出的请求正文中，这将根据请求正文中的用户组织进行过滤。

4- 最后，我可以跳过 Web 服务器上基于 cookie 的会话身份验证，直接从前端向 API 发出请求，并使用 JWT 对用户进行身份验证（这与第一点中如何过滤问题相同）。

我对 Node.js 还很陌生，我想知道是否有一个模块或常见做法来处理 1 或 4 中的特别过滤。

Answer 1

请注意，这只是来自尝试遵循模式实践的用户的回应。

我一直在使用 Express 框架。使用 express，您可以相当轻松地处理 http 请求，这是使用 Nodejs 进行 Web 开发最流行的框架之一。

为了解决授权问题，我将添加一个中间件（可以是一个函数），使过滤成为可能。例如，如果router 是处理所有请求和发送回复的路由器的名称，我将在router.js 中添加以下代码，该文件将保存所有路由器特定逻辑：

router.use(function isAuthorized(req, res, next){
    // Add your filtering code here
});

在这种情况下，它会是，

router.use(passportConf.isAuthenticated);

使用一次，路由器中的每一次点击都必须通过这个中间件。

现在，我们正在尝试合并“GET”请求：

var http = require('http'); //basic node.js module, needed for handling http requests

router.get('/questions', function(req, res) {
    var url = process.env.API_URL;
    var opt = {host: url, path : '/questions/?organisation=' + req.user.organisation._id}
    http.request(opt, function(questions){
        res.json({data: questions});
    }).end();
});