Какие подходы используете для формирования шаблона с разными правами доступа?

Question

[Алексей]

На сколько данных подход топорный? Безопасно ли такое решение?

1. В БД несколько таблиц с уровнями и правами доступа (Access Control List), соответственно получаем комбинированный ключ доступа;
   
2. Используем express-session для хранения информации о пользователе, имя/ключ доступа и т.д.;
   
3. В нужных маршрутах передаем данный ключ res.render('index', key : session.key});
   
4. Шаблон формируем на базе полученного ключа и отдаем пользователю.
   

Answer 1

[Abcdefgk]

Вообще-то, стандартно "ключ" роли пользователя записывают в res.locals в обработчике запроса, а в самом шаблоне предусматривают варианты для разных ролей, которые - в зависимости от роли (прав доступа) - отдаются на генерацию на основе простой проверки типа if(key == 'Admin')...
Собстно, это то же самое, что и res.render('index', {key : session.key}); , только "правильнее".

Comments

[Алексей]

В шаблоне именно так и делаю if(key == 'Admin').
Остальное как я уловил из оф. документации, проверив авторизацию/доступ к маршруту складываем данные в res.locals и передаем далее по цепочке и на стороне View данные ключи будут доступны, а после того как текущий req/res умер данные станут недоступны?

[Abcdefgk]

Алексей, Ну да, этот объект (ну, "подобъект") именно для этих целей Експрессом сразу и создаётся. Часто для сокращения многих букав в первой же строчке обработчика пишут
var locals = res.locals;
А потом в этот locals всё подряд и сваливают, типа

locals.title = 'Blabla';
locals.keyAccess = req.session.keyAccess;

и т.д. Запрос к базе - туда же.
И этот объект уже там, пишется только
res.render('index');

[Алексей]

Abcdefgk, спасибо.