我有以下定义的能力CaslAbilityFactory:
if (auth.isAdmin) {
can(Action.Create, User);
can(Action.Read, "all");
can(Action.Manage, User);
can(Action.Update, User, ["email", "firstName", "lastName", "role"]);
can(Action.Delete, User);
cannot(Action.Delete, User, isOwner);
}
if (auth.isUser) {
can([Action.Read, Action.Update], User, isOwner);
}
然后,我定义了以下解析器:
@Mutation(() => User)
@UseGuards(PoliciesGuard)
@CheckPolicies(ability => ability.can(Action.Update, User))
async updateUser(
@Args("input") input: UpdateUserInput,
@CurrentAuth() auth,
): Promise<User> {
const ability = this.caslAbilityFactory.createForAuth(auth);
if (ability.cannot(Action.Update, { id: input.id }) {
throw new ForbiddenException();
}
return this.usersService.update(input.id, input);
}
装饰器@CheckPolicies正确地确保只有具有用户操作的用户Update才能调用它,但我需要断言,对于这个特定的用户,我可以更新它吗?如果请求者是所有者,则可以。但在加载用户之前如何检查这一点?
一个显而易见的解决方案是加载用户,运行检查,然后执行更新。另一个更棘手的解决方案是以某种方式将其转换为new User({ id })并运行检查。
有没有更好的解决办法?
谢谢,
有几种方法可以实现这一点。您提到了其中的 2 种。另一种方法是将 casl 条件转换为数据库查询,然后让 db 检查条件。
这对于 casl-prisma 来说是可能的。其他 SQL 库也在这方面做了一些工作,但尚未完成。
将 POJO 转换为
User是最糟糕的选择,因为您会向控制器透露权限。您知道只有所有者才能访问此对象,这就是您对对象形状进行硬编码的原因,这样 casl 就会返回您预期的结果。但是,一旦您在 casl 级别更改此权限,您还需要更新硬编码的 POJO 形状。因此,基本上您会失去 casl 为您提供的灵活性 - 在单个位置更改权限。这就是为什么只有两个可行的长期解决方案: