A
Роль это набор пермишенов
Size: a a a
2020 April 26
IK
Ну вот я и хочу дать пермишен доступа человека к контрллерам после его авторизации,для учебного проекта это возможно?
MV
Привет!
Никто такого не встречал под ноду)
https://ryanbigg.com/2020/02/rom-and-dry-showcase-part-1
в плане гайды/туториалы/подход в целом?
Никто такого не встречал под ноду)
https://ryanbigg.com/2020/02/rom-and-dry-showcase-part-1
в плане гайды/туториалы/подход в целом?
AZ
Ну вот я и хочу дать пермишен доступа человека к контрллерам после его авторизации,для учебного проекта это возможно?
так посмотри в сторону JWT - роль при авторизации прямо в токен зашиваешь, добавляешь подпись и пользуйся
IK
🦉
так посмотри в сторону JWT - роль при авторизации прямо в токен зашиваешь, добавляешь подпись и пользуйся
максимально убогий способ
AZ
максимально убогий способ
для учебного провекта вполне
🦉
Ну вот я и хочу дать пермишен доступа человека к контрллерам после его авторизации,для учебного проекта это возможно?
да
просто создаешь роль authenticated_user
запихиваешь в эту роль пермишшены доступа
а в anonymous_user не запихиваешь
просто создаешь роль authenticated_user
запихиваешь в эту роль пермишшены доступа
а в anonymous_user не запихиваешь
🦉
для учебного провекта вполне
это bad practice, не надо учить людей плохому
AZ
это bad practice, не надо учить людей плохому
а отличная практика ересь нести? человек спросил, как ему работать с ролями, в памяти/бд/иное... а ответ "создать такую/сякую роль" ну прямо верх помощи =)))
AZ
а по поводу bad-practic - скажите это хреновой туче вполне известных и крупных проектов, которые на JWT базируются - обязательно прислушаются к такому "емкому" аргументу ;)
🦉
а отличная практика ересь нести? человек спросил, как ему работать с ролями, в памяти/бд/иное... а ответ "создать такую/сякую роль" ну прямо верх помощи =)))
я твои чувства задел тем, что рассказал как правильно управлять ролями?
AZ
я твои чувства задел тем, что рассказал как правильно управлять ролями?
а ты что-то рассказал =))) ? можно уточнить ГДЕ?
🦉
а по поводу bad-practic - скажите это хреновой туче вполне известных и крупных проектов, которые на JWT базируются - обязательно прислушаются к такому "емкому" аргументу ;)
куча мух не может ошибаться.
и заметь никто не кладет информацию о пользователе в токен, кладут в основном идентификатор, чтобы потом из базы вытащить актуальные данные
и заметь никто не кладет информацию о пользователе в токен, кладут в основном идентификатор, чтобы потом из базы вытащить актуальные данные
🦉
🦉
Ребят,роль пользователя (авторизован или нет) хранить в бд или определять при авторизации?Или в таблице пользователей у каждого пользователя создать поле роль?
Роль это показатель "кем пользователь является" в твоей системе.
Админ, гость, пользователь, модератор, забаненный и т.д.
Хранить в базе или вычислять на основе параметром.
Вообще роль это просто абстрактная штука. Набор разрешений. Её обычно не хранят в базе, а назначают в зависимости от нескольких параметров. Например, у пользователя есть валидный токен, в базе есть banned: false, admin: false, moderator: false — назначим user роль.
Ну и тому подобное
Админ, гость, пользователь, модератор, забаненный и т.д.
Хранить в базе или вычислять на основе параметром.
Вообще роль это просто абстрактная штука. Набор разрешений. Её обычно не хранят в базе, а назначают в зависимости от нескольких параметров. Например, у пользователя есть валидный токен, в базе есть banned: false, admin: false, moderator: false — назначим user роль.
Ну и тому подобное
AZ
куча мух не может ошибаться.
и заметь никто не кладет информацию о пользователе в токен, кладут в основном идентификатор, чтобы потом из базы вытащить актуальные данные
и заметь никто не кладет информацию о пользователе в токен, кладут в основном идентификатор, чтобы потом из базы вытащить актуальные данные
ошибаешься - как раз часто роли кладут, только нужно понимать, что этими ролями руководствуются только при отдаче контента, а для операций УПРАВЛЕНИЯ как раз и выполняют проверки... и кладут их туда как раз для того, чтобы при частых запросах на чтение не дрочить постоянно базу...
и да, информация: не знаешь что делать когда идет дождь? - если идет дождь, одеваешь сапоги и идешь гулять
- если дождя нет, одеваешь туфли и идешь гулять
Где тут какая-то полезная, не бестолковая информация?
и да, информация: не знаешь что делать когда идет дождь? - если идет дождь, одеваешь сапоги и идешь гулять
- если дождя нет, одеваешь туфли и идешь гулять
Где тут какая-то полезная, не бестолковая информация?
🦉
ошибаешься - как раз часто роли кладут, только нужно понимать, что этими ролями руководствуются только при отдаче контента, а для операций УПРАВЛЕНИЯ как раз и выполняют проверки... и кладут их туда как раз для того, чтобы при частых запросах на чтение не дрочить постоянно базу...
и да, информация: не знаешь что делать когда идет дождь? - если идет дождь, одеваешь сапоги и идешь гулять
- если дождя нет, одеваешь туфли и идешь гулять
Где тут какая-то полезная, не бестолковая информация?
и да, информация: не знаешь что делать когда идет дождь? - если идет дождь, одеваешь сапоги и идешь гулять
- если дождя нет, одеваешь туфли и идешь гулять
Где тут какая-то полезная, не бестолковая информация?
господи, задели самолюбие разработчика.
расслабься уже.
Удачи тебе отслеживать заблокированный JWT токен, в котором роль лежит. И вообще кайф полагаться на роль, которая может быть вообще не актуальна
расслабься уже.
Удачи тебе отслеживать заблокированный JWT токен, в котором роль лежит. И вообще кайф полагаться на роль, которая может быть вообще не актуальна
🦉
Круто наверное отдать контент, на чтение которого у пользователя нет прав уже минут 15, тупо потому что токен устарел
ТК
Пацаны, спорьте, но уважайте друг друга