获得正确的允许条件字段
Getting the right permitted fields of conditions
目前,我正在构建一个具有以下类似逻辑的应用程序:
...
const user = {
isAdmin: true,
company: '5faa6a847b42bf47b8f785a1',
projects: ['5faa6a847b42bf47b8f785a2']
}
function defineAbilityForUser(user) {
return defineAbility((can) => {
if (user.isAdmin) {
can('create', 'ProjectTime', {
company: user.company,
}
);
}
can(
'create',
'ProjectTime',
["company", "project", "user", "start", "end"],
{
company: user.company,
project: {
$in: user.projects
}
}
);
});
}
const userAbility = defineAbilityForUser(user); //
console.log( permittedFieldsOf(userAbility, 'create', 'ProjectTime') );
// console output: ['company', 'project', 'user', 'start', 'end']
基本上应该允许 admin 创建一个没有字段限制的项目时间。
并且 none admin 用户应该只被允许为他所属的项目设置指定的字段。
问题是我希望得到 [] 作为输出,因为应该允许 admin 设置项目时间的所有字段。
我找到的唯一解决方案是根据 admin 用户条件设置所有字段。但这需要在以后将新字段添加到项目时间模型时进行大量迁移工作。 (在我的情况下,也不可能将第二个条件包装在 else 块中)
还有其他更好的方法吗?或者,如果 permittedFieldsOf-函数在没有字段限制的情况下优先考虑条件会更好吗?
实际上 casl 无法知道模型上下文中所有字段的含义。它对它们的形状几乎一无所知,并依赖于您提供的条件来稍后检查这些对象。所以,它没有完整的信息。
您需要做的是传递第 4 个参数来覆盖 fieldsFrom 回调。检查 api docs and reference implementation in @casl/mongoose
在 casl v5 中,该参数是必需的。所以,这种困惑很快就会消失
目前,我正在构建一个具有以下类似逻辑的应用程序:
...
const user = {
isAdmin: true,
company: '5faa6a847b42bf47b8f785a1',
projects: ['5faa6a847b42bf47b8f785a2']
}
function defineAbilityForUser(user) {
return defineAbility((can) => {
if (user.isAdmin) {
can('create', 'ProjectTime', {
company: user.company,
}
);
}
can(
'create',
'ProjectTime',
["company", "project", "user", "start", "end"],
{
company: user.company,
project: {
$in: user.projects
}
}
);
});
}
const userAbility = defineAbilityForUser(user); //
console.log( permittedFieldsOf(userAbility, 'create', 'ProjectTime') );
// console output: ['company', 'project', 'user', 'start', 'end']
基本上应该允许 admin 创建一个没有字段限制的项目时间。
并且 none admin 用户应该只被允许为他所属的项目设置指定的字段。
问题是我希望得到 [] 作为输出,因为应该允许 admin 设置项目时间的所有字段。
我找到的唯一解决方案是根据 admin 用户条件设置所有字段。但这需要在以后将新字段添加到项目时间模型时进行大量迁移工作。 (在我的情况下,也不可能将第二个条件包装在 else 块中)
还有其他更好的方法吗?或者,如果 permittedFieldsOf-函数在没有字段限制的情况下优先考虑条件会更好吗?
实际上 casl 无法知道模型上下文中所有字段的含义。它对它们的形状几乎一无所知,并依赖于您提供的条件来稍后检查这些对象。所以,它没有完整的信息。
您需要做的是传递第 4 个参数来覆盖 fieldsFrom 回调。检查 api docs and reference implementation in @casl/mongoose
在 casl v5 中,该参数是必需的。所以,这种困惑很快就会消失