node.js - 如何在处理单个用户帐户和多个用户(具有角色的组织帐户)时创建 MongoDB 模式设计
问题描述
我正在使用 mongoDB 和 mongoose 开发 Nodejs Express API 项目,我想获得一些关于最佳实践的建议,并从社区创建一个有效的模式设计
该应用程序处理两种类型的用户帐户
帐户类型 :
- 单(默认)
- 组织(可以从设置切换到)
注意: 在组织帐户中将有一个管理员(所有者)和其他受邀用户,并且每个用户都被分配了权限级别/访问级别。一个用户将始终只与一个帐户相关联,即他不能再次被邀请到另一个帐户或开始如果他已经是现有帐户的一部分,则为新帐户。在组织帐户的情况下,帐单和送货地址也特定于帐户而不是用户(用户切换到组织帐户的地址将是组织帐户的地址)
我已经在passport.js JWT和本地策略的帮助下完成了身份验证部分
我试图开发一种类似于 RDBMS 的方法(我曾经是 RDBMS 人)但失败了
模型和模式
const userSchema = new Schema({
first_name: String,
last_name: String,
email: String,
phone: String,
avatar: String,
password: String,
active: Boolean
});
const User = mongoose.model('user', userSchema);
const accountSchema = mongoose.Schema({
account_type: { type: String, enum: ['single', 'organization'], default: 'single' },
organization: { type: Schema.Types.ObjectId, ref: 'organization', required: false },
billing_address: String,
shipping_address: String,
});
const Account = mongoose.model('account', accountSchema);
const accountUserRoleSchema = mongoose.Schema({
user : { type: Schema.Types.ObjectId, ref: 'user', },
role: { type: String, enum: ['admin', 'user'], default: 'user' },
account: { type: Schema.Types.ObjectId, ref: 'account', required: true }
});
const AccountUserRole = mongoose.model('accountUserRole', accountUserRoleSchema);
const permissionSchema = mongoose.Schema({
user : { type: Schema.Types.ObjectId, ref: 'user', required: true },
type: { type: Schema.Types.ObjectId, ref: 'permissionType', required: true },
read: { type: Boolean, default: false, required: true },
write: { type: Boolean, default: false, required: true },
delete: { type: Boolean, default: false, required: true },
accountUser : { type: Schema.Types.ObjectId, ref: 'account',required: true }
});
const Permission = mongoose.model('permission', permissionSchema);
const permissionTypeSchema = mongoose.Schema({
name : { type: String, required: true }
});
const PermissionType = mongoose.model('permissionType', permissionTypeSchema);
const organizationSchema = mongoose.Schema({
account : { type: Schema.Types.ObjectId, ref: 'account', },
name: { type: String, required: true },
logo: { type: String, required: true }
});
const Organization = mongoose.model('organization', organizationSchema);
现在我正在开发授权部分,用户需要通过检查分配给他或她的权限来限制对资源的访问。
我找到的解决方案是开发一个授权中间件,该中间件在验证中间件之后运行,该中间件检查分配的访问权限
但是当我尝试根据当前登录的用户访问帐户数据时出现问题,因为我必须根据 objectId 引用搜索文档。而且我可以理解,如果我继续当前的设计,这可能会发生。这工作正常,但使用 objectId 引用搜索文档似乎不是一个好主意
授权中间件
module.exports = {
checkAccess : (permission_type,action) => {
return async (req, res, next) => {
// check if the user object is in the request after verifying jwt
if(req.user){
// find the accountUserRole with the user data from the req after passort jwt auth
const accountUser = await AccountUserRole.findOne({ user :new ObjectId( req.user._id) }).populate('account');
if(accountUser)
{
// find the account and check the type
if(accountUser.account)
{
if(accountUser.account.type === 'single')
{
// if account is single grant access
return next();
}
else if(accountUser.account.type === 'organization'){
// find the user permission
// check permission with permission type and see if action is true
// if true move to next middileware else throw access denied error
}
}
}
}
}
}
}
我决定放弃我当前的模式,因为我知道在 NoSQL 上强制使用 RDBMS 方法是一个坏主意。
与关系数据库不同,MongoDB 的最佳模式设计很大程度上取决于您将如何访问数据。您将使用帐户数据做什么,以及您将如何访问它
我重新设计的新架构和模型
const userSchema = new Schema({
first_name: String,
last_name: String,
email: String,
phone: String,
avatar: String,
password: String,
active: Boolean
account : { type: Schema.Types.ObjectId, ref: 'account', },
role: { type: String, enum: ['admin', 'user'], default: 'user' },
permssion: [
{
type: { type: Schema.Types.ObjectId, ref: 'permissionType', required: true },
read: { type: Boolean, default: false, required: true },
write: { type: Boolean, default: false, required: true },
delete: { type: Boolean, default: false, required: true },
}
]
});
const User = mongoose.model('user', userSchema);
const accountSchema = mongoose.Schema({
account_type: { type: String, enum: ['single', 'organization'], default: 'single' },
organization: {
name: { type: String, required: true },
logo: { type: String, required: true }
},
billing_address: String,
shipping_address: String,
});
const Account = mongoose.model('account', accountSchema);
const permissionTypeSchema = mongoose.Schema({
name : { type: String, required: true }
});
const PermissionType = mongoose.model('permissionType', permissionTypeSchema);
我仍然不确定这是否是正确的方法,请帮助我提出建议。
解决方案
您可以合并用户和用户帐户架构:
添加了一些对您有用的文件。
const userSchema = new Schema({
first_name: { type: String,default:'',required:true},
last_name: { type: String,default:'',required:true},
email: { type: String,unique:true,required:true,index: true},
email_verified :{type: Boolean,default:false},
email_verify_token:{type: String,default:null},
phone: { type: String,default:''},
phone_verified :{type: Boolean,default:false},
phone_otp_number:{type:Number,default:null},
phone_otp_expired_at:{ type: Date,default:null},
avatar: { type: String,default:''},
password: { type: String,required:true},
password_reset_token:{type: String,default:null},
reset_token_expired_at: { type: Date,default:null},
active: { type: Boolean,default:true}
account_type: { type: String, enum: ['single', 'organization'], default: 'single' },
organization: {type:Schema.Types.Mixed,default:{}},
billing_address: { type: String,default:''}
shipping_address: { type: String,default:''}
role: { type: String, enum: ['admin', 'user'], default: 'user' },
permission: [
{
type: { type: Schema.Types.ObjectId, ref: 'permissionType', required: true },
read: { type: Boolean, default: false, required: true },
write: { type: Boolean, default: false, required: true },
delete: { type: Boolean, default: false, required: true },
}
],
created_at: { type: Date, default: Date.now },
updated_at: { type: Date, default: Date.now }
});
在您的中间件中:
module.exports = {
checkAccess : (permission_type,action) => {
return async (req, res, next) => {
// check if the user object is in the request after verifying jwt
if(req.user){
if(req.user.account_type === 'single')
{
// if account is single grant access
return next();
}
else{
// find the user permission
// check permission with permission type and see if action is true
// if true move to next middileware else throw access denied error
}
}
}
}
};
推荐阅读
- c++ - std::lower_bound 和 std::upper_bound 有什么区别?
- redirect - 如何从入口文件中的指定路径重定向到服务的根路径
- c# - 如何在 32 位应用程序中模拟 64 位指针
- django - Django 使用 CSRF 令牌向 views.py 发送 POST 请求,然后重定向页面
- windows - 应用程序无法为 SDL2 应用程序正确启动 0xc00007b
- java - org.springframework.data.redis.RedisConnectionFailureException:无法从池中获取资源
- powershell - Jenkins 部署 - Powershell SCP 脚本
- docker - 容器没有代码更改,图像有
- graphql - Apollo Client 3:如何在客户端为 graphql 接口实现缓存?
- javascript - 当它用作结果框时,有没有办法限制输入中的十进制字符数?