技术博客

Strapi5设置只能编辑、删除自己的内容

2025/2/14

我们可以创建一个通用的所有权检查中间件,让它可以被不同的内容类型共用。我们可以把它放在 src/middlewares 目录下:

// src/middlewares/ownership-check.js
'use strict';

/**
 * `ownership-check` middleware
 * 通用的内容所有权检查中间件
 */

module.exports = (config, { strapi }) => {
  return async (ctx, next) => {
    const user = ctx.state.user;
    const entryId = ctx.params.id;
    const contentType = config.contentType; // 从配置中获取内容类型

    if (!contentType) {
      throw new Error('ownership-check middleware requires contentType in config');
    }

    // 检查用户是否已登录
    if (!user) {
      return ctx.unauthorized('需要登录才能进行此操作');
    }

    // 如果有条目ID,则进行所有权检查
    if (entryId) {
      try {
        const entry = await strapi.documents(`api::${contentType}.${contentType}`).findOne(
          {
            documentId: entryId,
            populate: '*'
          }
        );

        if (!entry) {
          return ctx.notFound('内容不存在');
        }

        console.log(`${contentType}操作检查:`, {
          entryId,
          authorId: entry.user?.id,
          requestUserId: user.id
        });

        // 检查当前用户是否为作者
        if (entry.user?.id !== user.id) {
          return ctx.forbidden('您只能修改自己的内容');
        }
      } catch (error) {
        console.error('检查内容所有权时出错:', error);
        return ctx.internalServerError('检查内容所有权时出错');
      }
    }

    await next();
  };
};

在路由上添加中间件

// src/api/article/routes/article.js
'use strict';

/**
 * article router.
 */

const { createCoreRouter } = require('@strapi/strapi').factories;

module.exports = createCoreRouter('api::article.article',{
  config: { 
    update: {
      middlewares: [
        {
          name: 'global::ownership-check',
          config: {
            contentType: 'article'
          }
        }
      ],
    },
    delete: {
      middlewares: [
        {
          name: 'global::ownership-check',
          config: {
            contentType: 'article'
          }
        }
      ],
    },
  }
});

设置只能编辑自己的用户信息

//src/extensions/users-permissions/strapi-server.js
module.exports = (plugin) => {
  // 保存原始的更新方法
  const originalUpdate = plugin.controllers.user.update;

  // 重写更新方法
  plugin.controllers.user.update = async (ctx) => {
    const { id } = ctx.params;
    const authenticatedUserId = ctx.state.user?.id;

    console.log('扩展插件 - 当前用户ID:', authenticatedUserId);
    console.log('扩展插件 - 请求更新的用户ID:', id);

    // 检查用户是否在更新自己的信息
    if (!authenticatedUserId || authenticatedUserId !== parseInt(id)) {
      return ctx.forbidden('您只能更新自己的用户信息');
    }

    // 调用原始更新方法
    return await originalUpdate(ctx);
  };

  // 返回修改后的插件
  return plugin;
};
标签:Strapi
上次更新:

相关文章

<处理关联数据的最佳实践:Article 与 Tags 的关系 | 开发指南>

<本文详细介绍了在开发中处理关联数据(如 Article 和 Tags 的多对多关系)的最佳实践,包括拆分业务逻辑、使用事务保证数据一致性、合理设计关联表结构、批量操作、幂等性和乐观锁等关键要点,并提供了基于 mysql2 和 Sequelize 的代码示例。>

·后端开发

MySQL外键约束详解:维护数据一致性与完整性

本文详细介绍了MySQL中的外键约束(Foreign Key Constraint),包括其基本概念、创建方法、作用、级联操作、限制、修改与删除方法、查看方式以及最佳实践。通过合理使用外键约束,可以有效管理数据库中的数据关系,确保数据的准确性和可靠性。

·后端开发

MySQL JSON数据类型支持与使用指南 | 详细解析与示例

本文详细解析了MySQL从5.7版本开始支持的JSON数据类型,包括版本支持、创建JSON字段、插入与查询JSON数据、修改JSON数据、生成JSON、索引优化、性能与应用场景、注意事项及示例全流程。

·后端开发

SQL JOIN、LEFT JOIN 和 RIGHT JOIN 的区别与应用场景详解

本文详细介绍了 SQL 中 JOIN、LEFT JOIN 和 RIGHT JOIN 的区别,包括它们的作用、语法、示例以及实际应用场景,帮助读者更好地理解和使用这些连接方式。

·后端开发

PM2 v5 到 v6 升级指南:核心变化与注意事项

本文详细介绍了 PM2 从 v5 升级到 v6 的主要破坏性变更、新增功能、性能优化以及升级步骤和注意事项,帮助开发者顺利完成升级。

·后端开发

HTTP/3 详细解析:基于 QUIC 协议的性能与安全提升

HTTP/3 是 HTTP 协议的第三个主要版本,基于 QUIC 协议,旨在解决 HTTP/2 和 HTTP/1.x 中的性能和安全问题。本文详细解析了 HTTP/3 的核心特性、优势、挑战、应用场景以及如何启用 HTTP/3。

·全栈开发

Strapi v5 用户权限控制:如何限制用户只能查询自己发布的内容

本文详细介绍了在 Strapi v5 中如何通过权限控制和 API 过滤,确保用户只能查询自己发布的内容。提供了多种实现方法,包括使用 API 过滤、创建 Policy、修改 Controller 以及利用生命周期事件自动过滤。

·后端开发

Strapi 用户权限策略与自定义路由实现指南

本文详细介绍了如何在Strapi中创建自定义策略和路由,以增强用户权限管理。包括通过创建strapi-server.js文件来修改现有路由,以及通过创建新的API来实现自定义用户查找功能。

·后端开发

Strapi 社区版用户权限控制与数据过滤完整指南

本文详细介绍了如何在 Strapi 社区版中通过自定义代码实现用户权限控制和数据过滤,包括自动填充作者信息、限制用户只能操作自己的文章以及使用策略进行权限校验。

·后端开发

二叉树最大路径和问题解析 | 算法详解与代码实现

本文详细解析了二叉树中的最大路径和问题,包括问题定义、解决思路、算法步骤、代码实现及复杂度分析。通过递归和动态规划的方法,我们可以高效地找到二叉树中节点值之和最大的路径。

·编程语言