一期源码权限控制逻辑学习之角色与API接口之间的关系

在领取了学习一期源码权限控制逻辑学习这张卡之后，一切进展都挺顺利的，就在我以为一切都结束了，将我对这个权限控制的理解写成简书之后，提交给老师QA时，老师提出了一个问题：在逻辑控制中角色与API接口的关系是什么？
首先我看到这问题想到的是：角色只有两种，分为学生和管理员；API那么也应该分为两种一种是对学生使用的API，一种是对管理员使用的API。
然后我又想代码里边不是都写了API的访问逻辑了，为什么还要去研究这个问题。怀揣这这个问题，我又去请教了一次林老师，林老师的回答是：如果一个学生他知道了我们的管理员这边的API，使用network发送了管理员接口的请求时，如果没有这个逻辑关系的判断，那么我们的系统就有风险了。听了这个回答之后我才恍然大悟，还是我的思考太局限了。。。扯了这么多了，开始说正题吧！这个角色与API接口之间的关系到底是如何控制的呢？
看到这个问题，我的第一反应是在每个API里都有一个判断语句，看这个请求是否正确（就是这个请求的发送者是否有权限去发送这个请求，这个请求是否可以被处理）。然后有这个思路我就先去找了管理员这边的API去看，然后发现并没有这个逻辑判断，所以，这种方案失败！
那就换个思路吧！
在每一次请求发送之后，首先都会经过app.js这个文件，所以有没有可能是在这里边处理的呢？
果然，在这个文件里边，加载了这样一个中间件app.use(checkSession);，这个中间件是由check-session.js这个文件exports的，该文件源码为：

var getJumpControl = require('../mixin/jump-control');
function getType (o) {
  var typeStr = Object.prototype.toString.call(o).slice(8, -1);
  return typeStr;
}
function matchUrl (url, patterns) {  return patterns.some((pattern) => {         
   if (getType(pattern) === 'RegExp') {
      return pattern.test(url);
    } else {
      return url.indexOf(pattern) > -1;
    }
  });
}
function pathControl (url, session) {
  var target = {};
  var needRedirect = false;
  var jumpControl = getJumpControl(session);
  jumpControl.forEach((item) => {
    if (matchUrl(url, item.originPath) && item.condition) {
      target = item;
      needRedirect = true;
      return;
    }
  });
  return {
    needRedirect: needRedirect,
    status: target.status
  };
}
module.exports = function (req, res, next) {
  var target = pathControl(req.url, req.session);
  if (target.needRedirect) {
    res.sendStatus(target.status);
  } else {
    next();
  }
};

这个文件里边引入了getJumpControl这个方法，这个方法的源码为：

/*getJumpControl源码*/
function jumpControl (session) {  
  var isLogined = Boolean(session.user);
  var isAdmin = isLogined ? (Number(session.user.role) === 9) : false;
     return [{
          originPath: [
               '/reuse/account',
                /homework\/scoring$/
          ],
        condition: !isLogined,
        status: 401
      }, {
        originPath: [
            '/admin/registerable',
            '/admin/channel',
            '/report/paper/1/scoresheet'
        ],
        condition: !isLogined || !isAdmin,
        status: 403
      }];
}
module.exports = jumpControl;

因为在每一次登录之后，都会将用户的所有信息存入当前的session.user中，然后当有一个请求发送过来之后，就会使用session中的数据，辅助check-session.js的判断，如果API与用户的关系符合规则，那么needRedirect这个属性值为false，并将该请求发送，若判断不符合规则，needRedirect这个属性值为true，并将请求终止，send对应的httpCode。
这就是我理解的角色与API接口之间的关系！
问题解决了！

个人总结：

问题虽然成功解决，但是花费时间过长，总结原因，还是由于我考虑这个问题时，考虑的不够深刻，不够仔细，导致方向走错，最终花费时间太多！
吸取教训，加油！