如何在用戶模式中向好友數組添加用戶

本文旨在指導開發者如何在用戶接受好友請求後，將其信息添加到對方用戶模式的friends 數組中。文章將討論避免前端篡改用戶ID的措施，並通過FriendRequest 模型查詢好友列表，同時也會介紹如何在接受好友請求時更新用戶模式，並強調使用事務以保證數據一致性的重要性。

確保用戶ID的安全性

在處理好友請求時，直接從前端獲取發送者（sender）ID存在安全風險。惡意用戶可以通過修改HTML來偽造發送者ID，從而導致數據不一致或潛在的安全問題。為了避免這種情況，應該從服務器端的會話或身份驗證中間件中獲取當前用戶的ID。

例如，前端表單可以只包含接收者（receiver）的ID：

在後端路由處理程序中，使用身份驗證中間件提供的當前用戶ID作為發送者：

 router.post("/requests", (req, res) => {
  const { receiver } = req.body;

  FriendRequest.create({
    sender: req.user._id, // 從身份驗證中間件獲取當前用戶ID
    receiver
  }).then(() => {
    res.status(204).send();
  }).catch((error) => {
    res.status(500).send("Error sending friend request");
  });
});

這裡假設req.user._id 包含了經過身份驗證的用戶的ID。你需要根據你使用的身份驗證方法調整這部分代碼。

通過FriendRequest 模型查詢好友列表

一種更優雅的方式是避免在User 模型中顯式維護friends 數組。相反，可以通過查詢FriendRequest 模型來獲取好友列表。這種方法利用了FriendRequest 模型中已經存在的sender 和status 字段。

例如，要獲取當前用戶的所有已接受的好友，可以使用以下查詢：

 FriendRequest
  .find({sender: req.user._id, status: 'accepted'})
  .then((listOfFriends)=>{
    console.log(listOfFriends);
  })
  .catch((e)=>{
    // handle error
  })

這種方法的優點是避免了數據冗餘，並且在好友關係發生變化時，只需要更新FriendRequest 模型即可。

更新用戶模式中的friends 數組(謹慎使用)

如果仍然需要在User 模型中顯式維護friends 數組，則需要在接受好友請求時更新這兩個用戶的friends 數組。

 router.post("/requests/:id/accept", async (req, res) => {
  try {
    const request = await FriendRequest.findById(req.params.id);
    request.status = "accepted";
    await request.save();

    const currentUser = await User.findById(req.user._id); // 獲取當前用戶const otherUser = await User.findById(request.receiver); // 獲取接收者用戶currentUser.friends.push(request.receiver);
    otherUser.friends.push(req.user._id);

    await currentUser.save();
    await otherUser.save();

    res.redirect("/requests");
  } catch (error) {
    // 處理錯誤console.error("Error accepting friend request:", error);
    res.status(500).send("Error accepting friend request");
  }
});

注意事項：使用事務

在更新多個集合時，務必使用數據庫事務來確保數據一致性。如果在更新FriendRequest 模型後，更新User 模型失敗，則可能導致數據不一致。

以下是如何使用Mongoose 事務的示例：

 const mongoose = require('mongoose');

router.post("/requests/:id/accept", async (req, res) => {
  const session = await mongoose.startSession();
  session.startTransaction();
  try {
    const request = await FriendRequest.findById(req.params.id).session(session);
    request.status = "accepted";
    await request.save({ session });

    const currentUser = await User.findById(req.user._id).session(session); // 獲取當前用戶const otherUser = await User.findById(request.receiver).session(session); // 獲取接收者用戶currentUser.friends.push(request.receiver);
    otherUser.friends.push(req.user._id);

    await currentUser.save({ session });
    await otherUser.save({ session });

    await session.commitTransaction();
    session.endSession();

    res.redirect("/requests");
  } catch (error) {
    await session.abortTransaction();
    session.endSession();
    // 處理錯誤console.error("Error accepting friend request:", error);
    res.status(500).send("Error accepting friend request");
  }
});

在這個示例中，mongoose.startSession() 創建一個新的會話，session.startTransaction() 啟動事務。所有的數據庫操作都通過.session(session) 傳遞會話對象。如果所有操作都成功，則session.commitTransaction() 提交事務；否則，session.abortTransaction() 回滾事務，撤銷所有更改。

總結

在處理好友請求時，務必注意用戶ID的安全性，並考慮使用FriendRequest 模型查詢好友列表，以避免數據冗餘。如果需要在User 模型中顯式維護friends 數組，則務必使用數據庫事務來確保數據一致性。選擇哪種方法取決於你的具體需求和對數據一致性的要求。

以上是如何在用戶模式中向好友數組添加用戶的詳細內容。更多資訊請關注PHP中文網其他相關文章！