📘
(Russian) GoIT Node.js new program
  • Новый курс по Node.js для GoIT
  • Вступ в Node.js
    • План
    • Что такое Node.js? Для чего используется?
    • Модульная система в Node.js
    • Что такое npm?
    • Версионирование. SemVer
    • Глобальные переменные (global) и переменные модуля. process
    • Работа с аргументами командной строки argv
    • Модуль fs
    • Модуль path
    • Дебаг Node.js приложения
  • Веб-сервер. Вступление в Express.js
    • План
    • Что такое веб-сервер?
    • Разница между url i uri. Основные параметры URI-строки
    • Что такое протоколы? Протокол HTTP и его составляющие
    • Модуль http
    • Вступление в express
    • Nodemon. Npm scripts
    • Middleware - что и для чего?
    • Отдача статики. express.static
    • Обработка тела запроса в express
    • Домашнее задание №1
  • Express.js
    • План
    • Обработка тела запроса клиента. Postman
    • Что такое эндпоинт?
    • Query-параметры запроса (req.query)
    • Валидация полученных от пользователя данных
    • Файл .env и пакет dotenv
    • CORS. Пакет cors
    • Деплой на heroku
    • Архитектура REST. RESTful API
    • CRUD в Express
    • Path-параметры (req.path)
    • Маршрутизация в Express
    • Домашнее задание №2
  • Базы данных
    • План
    • Что такое БД и СУБД?
    • Виды БД / СУБД
    • Что такое MongoDB
    • Пользователи баз данных, их роли
    • _id - уникальный идентификатор документа в коллекции
    • Что такое mongoose? Подключение к MongoDB через Mongoose
    • Mongoose Schema
    • Модели в Mongoose
    • Основы Structured Query Language (SQL)
    • Подключение Sequelize к БД
    • Создание модели и схемы в Sequelize
    • Ocновные методы модели Sequelize
    • Структура Node.js приложения
    • Домашнее задание №3
  • Аутентификация & Авторизация
    • План
    • Как сохранять пароли в базе данных?
    • Хеширование паролей
    • Хеширование паролей с bcrypt
    • Регистрация
    • Верификация
    • Аутентификация
    • Авторизация
    • JWT. Его составляющие и особенности использования
    • Middleware для авторизации
    • MongoDB: сортировка, пагинация
    • MongoDB: агрегація, populate vs lookup
    • Домашнее задание №4
  • Работа со статическими файлами
    • План
    • Что такое multipart / form-data?
    • Multer. Сохранение переданных пользователем статических файлов
    • Оптимизация изображений. Imagemin
    • Cloud-сервисы для сохранения / раздачи статики (Amazon, Google)
    • Домашнее задание №5
  • Тестирование
    • План
    • Автоматизированные тесты. Пирамида тестирования
    • Юнит тесты - что такое и для чего?
    • Инструменты, необходимые для проведения юнит-тестов
    • Test runner. Mocha.js
    • Assertion library. Should.js
    • Mock library. Sinon.js
  • [OFFTOP] Автоматизированное тестирование (Доп. занятие)
    • План
    • Зачем? Что такое рефакторинг и быстрая система обратной связи (short feedback loop)?
    • Как это работает? Что такое набор тестов (test suite) тестовое покрытие (test coverage)?
    • Класификация автоматизированного тестирования. Критерии сравнения тестов
    • Как правильно писать тесты? Что такое F.I.R.S.T.?
    • Юнит-тесты. Sociable и Solitary тесты
    • Системные тесты. Тестирование ендпоинтов и почему одних юнит тестов недостаточно?
  • Email-рассылка
    • План
    • Что такое email-рассылка? Когда необходимо использовать?
    • SendGrid. Создание аккаунта и API токена
    • SendGrid. Создание email-отправителя
    • SendGrid. Отправка email-ов через пакет @sendgrid/mail
    • Nodemailer
    • Что такое OTP и зачем он нужен?
  • Вебсокеты
    • План
    • Что такое вебсокеты и зачем они нужны?
    • Как происходит обмен данными по вебсокет протоколу?
    • WebSocket handshake
    • Основные понятия вебсокет реализаций на node.js
    • Домашнее задание №6
Powered by GitBook
On this page

Was this helpful?

  1. Аутентификация & Авторизация

Middleware для авторизации

Необходимость в проверке прав пользователя на выполнение определенных действий (прав на обращение в ендпоинтам) с помощью токена возникает очень часто. Поэтому для этого обычно создается отдельный middleware.

Этот middleware делает следующие действия:

  • извлекает токен (с заголовка "Authorization" или кукис)

  • если токена нет или токен не было найдено в нашей БД - отвечает пользователю с ошибкой 401

  • если у пользователя, что соответствует данному токена, не хватает прав на выполнение заданного запроса - отвечает пользователю с ошибкой 403

  • если все предыдущие проверки прошли успешно - добавляет в Request-объект (req) пользователя и его токен и передает обработку запроса на следующий middleware.

Одна из возможных реализаций middleware:

async function authorize(req, res, next) {
  try {
    // 1. достать токен пользователя с заголовка Authorization
    const authorizationHeader = req.get("Authorization");
    const token = authorizationHeader.replace("Bearer ", "");

    // 2. достать id пользователя с пейлоада или вернуть пользователю
    // ошибку со статус кодом 401
    let userId;
    try {
      userId = await jwt.verify(token, config.jwtSecret).userId;
    } catch (err) {
      next(new UnauthorizedError("User not authorized"));
    }
    
    // 3. достать соответствующего пользователя. Если такого нет - вернуть
    // ошибку со статус кодом 401
    // userModel - модель пользователя в нашей системе
    const user = await userModel.findUserById(
      userId
    );
    if (!user) {
      throw new UnauthorizedError();
    }

    // 4. Если все прошло успешно - передать запись пользователя и токен в req
    // и передать обработку запроса на следующий middleware
    req.user = user;
    req.token = token;

    next();
  } catch (err) {
    next(err);
  }
}
PreviousJWT. Его составляющие и особенности использованияNextMongoDB: сортировка, пагинация

Last updated 4 years ago

Was this helpful?