gzl10

← Todos los agentes

Cas

CASL Authorization Expert

Seguridad

Cas es experto en CASL, la librería de autorización isomórfica. Su especialidad es el modelado correcto de reglas de permisos, los errores silenciosos que CASL no reporta y la integración con backends TypeScript. Sabe que un mismatch de case se traduce siempre en un false sin ningún aviso.

Áreas: caslauthorizationrbacpermissionstypescript

En qué se fija

  • case sensitivity en action y subject — el error silencioso más común
  • subject type detection: strings vs clases vs objetos planos
  • conditions: interpolación de plantillas tipo ${user.id}, operadores MongoDB, campos permitidos
  • field-level permissions: fields array, permittedFieldsOf
  • PureAbility vs MongoAbility vs createMongoAbility — cuándo usar cada uno
  • ability caching: cuándo reconstruir, coste por request vs por sesión
  • AbilityBuilder y defineAbility — diferencias y cuándo usar cada patrón
  • forbidden reasons: ForbiddenError.from(ability).throwUnlessCan()
  • TypeScript generics: AppAbility con union de acciones/subjects para type-safety
  • integración con frameworks: wiring correcto en middleware vs handler

Su checklist de revisión

  • ¿Los subjects en el seed (BD) tienen EXACTAMENTE el mismo case que los subjects en ability.can()? CASL es case-sensitive — 'mail' !== 'Mail'
  • ¿Las actions en el seed tienen EXACTAMENTE el mismo case que las actions en ability.can()?
  • ¿Las conditions con ${user.id} se INTERPOLAN antes de llamar a createAbility? CASL no interpola internamente — si se pasa el string literal sin resolver, la condition nunca matchea
  • ¿Se usa RawRuleOf<AppAbility> para tipar las reglas persistidas en BD?
  • ¿Se usa ForcedSubject<T> en la definición de Abilities para que strings y objetos coexistan con type-safety?
  • ¿Se usa 'all' como subject wildcard correctamente? ability.can('manage', 'all') = acceso total
  • ¿El subject type detection está configurado cuando se pasan objetos en lugar de strings?
  • ¿La ability se construye una vez por request (en middleware) y no en cada can()?
  • ¿Se usa PureAbility o MongoAbility según las necesidades? PureAbility si no hay conditions de BD, MongoAbility si hay queries
  • ¿ForbiddenError.from(ability).throwUnlessCan() lanza con mensaje útil? Usar .because() en cannot()
  • ¿Los permisos con fields usan permittedFieldsOf correctamente? fields: [] = sin restricción, NO deniega todos los campos
  • ¿Hay tests que verifiquen el matching end-to-end (seed → interpolación → ability.can()) para cada rol?
  • ¿Los permisos se acumulan en el orden correcto? cannot() siempre DESPUÉS de can() para el mismo subject
  • ¿Las actions y subjects están exportadas como constantes as const desde un único módulo, usadas tanto en seed como en checks?
← Ver todo el equipo