我正在使用实验性的TypeScript装饰器来管理Express中的访问控制。
class AccountController extends Controller {
login(req: Request, res: Response) {
const { email, password } = req.body;
const token = await this.model.login(email, password);
return res.json({
token
});
}
@hasRole('ADMIN')
list(req: Request, res: Response) {
res.json({
data: await this.model.findAll()
});
}
}
hasRole
方法装饰器运行良好,我很满意。
Controller
实现REST方法:
class Controller {
list(req: Request, res: Response) { // impl }
get(req: Request, res: Response) { // impl }
create(req: Request, res: Response) { // impl }
update(req: Request, res: Response) { // impl }
delete(req: Request, res: Response) { // impl }
}
问题在于,我需要将同样的修饰器应用到大多数其他控制器中,这让我感到非常重复。例如,
StockController
应该只允许 MERCHANT
角色访问,我必须像以下这样做:class StockController extends Controller {
@hasRole('MERCHANT')
list(req: Request, res: Response) {
return super.list(req, res);
}
@hasRole('MERCHANT')
get(req: Request, res: Response) {
return super.get(req, res);
}
@hasRole('MERCHANT')
create(req: Request, res: Response) {
return super.create(req, res);
}
@hasRole('MERCHANT')
update(req: Request, res: Response) {
return super.update(req, res);
}
@hasRole('MERCHANT')
delete(req: Request, res: Response) {
return super.delete(req, res);
}
}
这种方法不仅枯燥重复而且不安全,因为如果我向Controller
添加一个方法,但意外忘记在子控制器中添加该方法,则会允许不必要的访问。
我想通过类装饰器来解决这个问题,使用以下代码:
@requireRole('MERCHANT')
class StockController extends Controller {}
不过,从我在文档中所看到的内容:
类装饰器应用于类的构造函数,并可用于观察、修改或替换类定义。
据我所理解,在类装饰器中无法实现“方法钩子”。有什么建议吗?
供参考,hasRole
装饰器如下:
export function hasRole(role: string) {
return function(target: Object, propertyKey: string, descriptor: PropertyDescriptor) {
const originalMethod = descriptor.value;
descriptor.value = function(req: Request, res: Response) {
const user = res.locals.user;
if (user && user.hasRole(role)) {
originalMethod.apply(this, [req, res]);
} else {
res.status(403).json({});
}
}
}
}