请教一个在Express中，对路由利用中间件进行Nodejs权限控制的问题

怎样利用中间件函数对每一个get,put等路由进行权限控制判断，就像Java里Struts2的可以利用过滤器对每个请求进行权限判断。

试过在路由前加中间件函数

function authChecker(req, res, next) {
    if (req.session.auth) {
        next();
    } else {
       res.redirect("/auth");
    }
}
app.use(authChecker);
app.get("/", routes.index);
app.get("/foo/bar", routes.foobar);

上面的代码可以将所有没有指定路由的请求转发的"/auth"上，但是下面两个指定了的get，是进入不了中间件函数的。

在网上查过，有像这样在每个get函数中加上中间件的方法，但是指定的路由多了，这样就很麻烦

请问各位有没有一种好的简洁的方式，可以指定一个权限检查函数，对特定的请求之外的所有请求进行权限检查？

yuanlaile 1楼

当然可以。在Express中，使用中间件来实现权限控制是一个常见的需求。你提到的问题在于如何在一个地方集中处理权限控制，而不是为每个路由单独添加中间件。以下是一种简洁且有效的方式来实现这一目标。

示例代码

首先，我们定义一个权限检查中间件：

// authMiddleware.js
module.exports = function authChecker(req, res, next) {
    // 这里可以根据实际情况修改权限检查逻辑
    if (req.session && req.session.auth) {
        next(); // 如果用户已认证，则继续处理请求
    } else {
        res.status(403).send("Unauthorized"); // 如果未认证，则返回403错误
    }
};

接下来，在你的主应用文件（如app.js或server.js）中引入并使用这个中间件：

const express = require('express');
const app = express();

// 引入权限检查中间件
const authChecker = require('./middleware/authMiddleware');

// 使用全局中间件，除了特定路由外，其他所有路由都会经过这个中间件
app.use((req, res, next) => {
    // 特定不需要权限检查的路由列表
    const publicRoutes = ['/auth', '/public'];
    
    // 检查当前路由是否在公开列表中
    if (publicRoutes.includes(req.path)) {
        next(); // 如果是公开路由，直接放行
    } else {
        // 否则，使用权限检查中间件
        authChecker(req, res, next);
    }
});

// 定义路由
app.get('/', (req, res) => {
    res.send('Home Page');
});

app.get('/foo/bar', (req, res) => {
    res.send('Foo Bar Page');
});

app.get('/auth', (req, res) => {
    res.send('Authentication Page');
});

app.get('/public', (req, res) => {
    res.send('Public Page');
});

// 启动服务器
const PORT = process.env.PORT || 3000;
app.listen(PORT, () => {
    console.log(`Server is running on port ${PORT}`);
});

解释

权限检查中间件：authChecker中间件用于检查用户的会话信息。如果用户已经认证（即req.session.auth存在），则调用next()继续处理请求；否则，返回403状态码表示未授权。
全局中间件：我们在全局中间件中定义了一个数组publicRoutes，包含不需要权限检查的路由。当请求路径匹配这些路由时，直接放行。对于其他路由，则通过authChecker中间件进行权限检查。

这种方式的好处是，你可以轻松地添加或移除公开路由，而无需修改具体的路由定义。这使得代码更加简洁和易于维护。

bupafengyu 2楼

可以试试这样写：app.get(’/path’, authChecker, doSomethingFunc); authChecker就是你自个写的那个函数

gougou168 3楼

app.get(’/auth’, xxx); app.all(’*’, xxx); //不能放在做auth的前面. app.get(’/one’, xxx); app.get(’/two’, xxx); app.post(’/three’, xxx);

sinazl 4楼

在Express中，可以通过创建一个通用的中间件来实现权限控制，以避免在每个路由定义中重复添加权限检查逻辑。你可以通过将权限检查中间件放在路由之前来应用到所有的路由。下面是一个实现此功能的例子：

首先定义一个权限检查中间件：

// 中间件函数
function authChecker(req, res, next) {
    // 假设session中有auth字段表示用户是否已登录
    if (req.session.auth) {
        next(); // 用户已登录，继续处理下一个中间件或路由
    } else {
        res.status(401).json({ message: "未授权" }); // 用户未登录，返回401状态码
    }
}

然后在路由之前使用app.use()全局应用此中间件：

// 应用权限检查中间件
app.use(authChecker);

// 定义你的路由
app.get("/", routes.index);
app.get("/foo/bar", routes.foobar);

这种方式会为所有路由提供权限检查。如果需要针对某些特定路由豁免权限检查，可以在这些路由之后单独添加权限检查中间件，或者为这些路由使用不同的中间件逻辑。

如果你希望根据用户的角色或其他条件实施更复杂的权限控制，可以在authChecker函数中加入更多的逻辑，例如检查用户的session信息、数据库中的角色信息等。这样可以实现细粒度的权限控制，而无需在每个路由中重复相同的检查代码。