Ajouter plusieurs rôles aux routes protégées (Node + Express + JWT)
J'essaie de sécuriser certaines routes en utilisant des rôles d'utilisateur (certaines routes acceptent plusieurs rôles). Lorsque je répertorie les rôles acceptés dans le gestionnaire de route, seul le premier rôle d'utilisateur répertorié est autorisé à accéder. Je dois autoriser l'accès à tous les rôles répertoriés.
Voici le fichier middleware d'authentification (auth.js) qui décode le jeton JWT :
import jwt from "jsonwebtoken";
const auth = (req, res, next) => {
const token = req.header("x-auth-token");
if (!token)
return res
.status(401)
.send({ message: "Access denied. No token provided!" });
try {
const decoded = jwt.verify(token, "SomethingPrivate");
req.user = decoded;
next();
} catch (ex) {
res.status(400).send({ message: "Invalid Token." });
}
};
export const superAdmin = (req, res, next) => {
const token = req.header("x-auth-token");
if (!auth && !token)
return res.status(401).send({ message: "Access denied." });
const decoded = jwt.verify(token, "SomethingPrivate");
if (auth && decoded.role === "superAdmin") {
res.status(200);
next();
} else {
res.status(400).send({ message: "Access denied!" });
}
};
export const admin = (req, res, next) => {
const token = req.header("x-auth-token");
if (!auth && !token)
return res.status(401).send({ message: "Access denied." });
const decoded = jwt.verify(token, "SomethingPrivate");
if (auth && decoded.role === "admin") {
res.status(200);
next();
} else {
res.status(400).send({ message: "Access denied!" });
}
};
export const teacher = (req, res, next) => {
const token = req.header("x-auth-token");
if (!auth || !token)
return res.status(401).send({ message: "Access denied." });
const decoded = jwt.verify(token, "SomethingPrivate");
if (auth && decoded.role === "teacher") {
res.status(200);
next();
} else {
res.status(400).send({ message: "Access denied!" });
}
};
export const student = (req, res, next) => {
const token = req.header("x-auth-token");
if (!auth || !token)
return res.status(401).send({ message: "Access denied." });
const decoded = jwt.verify(token, "SomethingPrivate");
if (auth && decoded.role === "student") {
res.status(200);
next();
} else {
res.status(400).send({ message: "Access denied!" });
}
};
export const parent = (req, res, next) => {
const token = req.header("x-auth-token");
if (!auth) return res.status(401).send({ message: "Access denied." });
const decoded = jwt.verify(token, "SomethingPrivate");
if (auth && decoded.role === "parent") {
res.status(200);
next();
} else {
res.status(400).send({ message: "Access denied!" });
}
};
Voici le fichier du routeur (userRoute.js) :
import express from "express";
import {
superAdmin,
admin,
teacher,
student,
parent,
} from "../middleware/auth.js";
const router = express.Router();
import {
view,
find,
me,
create,
edit,
update,
viewUser,
} from "../controllers/userController.js";
// Routes
router.get("/", [superAdmin, admin], view); //The route I am struggling with at the moment//
router.post("/", find);
router.get("/me", me);
router.post("/create", superAdmin, create);
router.get("/edituser/:userID", edit);
router.post("/edituser/:userID", [], update);
router.get("/viewuser/:userID", viewUser);
export { router as user };
Enfin, les données de la charge utile JWT sont insérées lors de la connexion et stockées dans l'en-tête de réponse :
const token = jwt.sign(
{
userID: result[0].userID,
firstName: result[0].firstName,
lastName: result[0].lastName,
email: result[0].email,
role: result[0].role,
},
Dans le fichier userRoute.js, j'ai essayé d'utiliser un opérateur de canal entre chaque rôle accepté pour cette route, mais je n'arrive pas à traiter les rôles comme des booléens.
Toute aide serait grandement appréciée ! (Il s'agit du backend qui sera associé au frontend React dans un avenir proche.)
