KL
в мидлваре подтягиваешь модель, делаешь проверку на автора - пропускаешь дальше или бросаешь исключение
не стоит выносить бизнесс логику в мидлвар
Size: a a a
2020 January 17
AS
Там обычная проверка, бизнес логика в контроллере
KL
Там обычная проверка, бизнес логика в контроллере
эта проверка и есть частью бизнесс логики
NA
Добрый день
request/request объявил что уже не будет развиваться. Что теперь хорошего на замену? Axious это как будто для фронта, а что на бекенде из мощного есть?
request/request объявил что уже не будет развиваться. Что теперь хорошего на замену? Axious это как будто для фронта, а что на бекенде из мощного есть?
KL
я бы вынес это отдельную функцию вида
canUserModify(user, comment) и использовал как-то так const user = await getUser(userId);
const comment = await getComment(commentId);
if(!canUserModify(user,comment)){
throw new NotAuthorized('ERR_ACCESS');
}
// do whatewher you have to do
KL
не стоит выносить бизнесс логику в мидлвар
ну и опять же, вы сходите в БД в мидлваре, а потом ещё раз в контроллере/сервисе
IB
Всем привет, подскажите, есть ли способ авторизацию как то вынести и переиспользоваать. Например проверка что юзер может удалить только свой пост свой коммент и тд. В контроллерах не охота все это повторять
а зачем проверять? удалять по условию - айди комента такой то автор такой то
IB
если будет попытка удалить коммент не со своим айди то ничего не произойдет
KL
если будет попытка удалить коммент не со своим айди то ничего не произойдет
ну в идеале надо же вернуть сообщение про ошибку, что Unauthorized, все дела
AS
я бы вынес это отдельную функцию вида
canUserModify(user, comment) и использовал как-то так const user = await getUser(userId);
const comment = await getComment(commentId);
if(!canUserModify(user,comment)){
throw new NotAuthorized('ERR_ACCESS');
}
// do whatewher you have to do
вполне ок. Делал так на симфони и джанге) в ноде же я делаю по-быстрому через мидлварки. Вытянул комент, проверил, запихнул в стейт, в контролере и стейта вытянул комент, сделал че надо и вернул респонс )) (в итоге два запроса, селект и удаление)
IB
ну в идеале надо же вернуть сообщение про ошибку, что Unauthorized, все дела
просто на фронте не давать кнопку удалить если коммент не его
KL
просто на фронте не давать кнопку удалить если коммент не его
ну апишка-то не только на фронт смотреть может
IB
ну если априори не даешь возможности удалять чужие комменты то подобный запрос считается злонамеренным и ответ на него можно вообще не давать
KL
вполне ок. Делал так на симфони и джанге) в ноде же я делаю по-быстрому через мидлварки. Вытянул комент, проверил, запихнул в стейт, в контролере и стейта вытянул комент, сделал че надо и вернул респонс )) (в итоге два запроса, селект и удаление)
передавать подобный стейт через объект реквеста - не лучшая идея. Тогда ваша обработчик получает неявную зависимость в виде стоящего перед ним мидлвары. Потом кто-то мидлвару уберет/переместит/изменит и все сломается
AT
У меня идёт проверка на токен, после проверка авторизации. В проверку авторизации я пока что передаю модель и поле для сравнения. И проверяю
AT
Я не хочу в каждом контроллере делать однотипную проверку.
Да по автору и ид коммен а норм идея. Но как я пойму он не нашёл потому что не тот автор или он не нашнл потому что такого коммент нет впринципе
Да по автору и ид коммен а норм идея. Но как я пойму он не нашёл потому что не тот автор или он не нашнл потому что такого коммент нет впринципе
А
Добрый день
request/request объявил что уже не будет развиваться. Что теперь хорошего на замену? Axious это как будто для фронта, а что на бекенде из мощного есть?
request/request объявил что уже не будет развиваться. Что теперь хорошего на замену? Axious это как будто для фронта, а что на бекенде из мощного есть?
axios и на бэке вполне ок
NA
тоже склоняюсь к нему судя по звездам на гитхабе
RK
приветы!
есть название для философии, стека или технологии (не могу подобрать термин) когда всё API сайта или сервиса работает через WS?
есть название для философии, стека или технологии (не могу подобрать термин) когда всё API сайта или сервиса работает через WS?
AS
передавать подобный стейт через объект реквеста - не лучшая идея. Тогда ваша обработчик получает неявную зависимость в виде стоящего перед ним мидлвары. Потом кто-то мидлвару уберет/переместит/изменит и все сломается
+1, но так как я на проекте один с клиентом, нам обеим ок :) тем более что он не кодит