35 lines
1004 B
JavaScript
35 lines
1004 B
JavaScript
import { createError, getRequestURL } from 'h3'
|
|
import { getAdminSession } from '../utils/admin-auth'
|
|
import { isPrivilegedMember } from '../repositories/member-repository'
|
|
|
|
/**
|
|
* 관리자 API 요청마다 현재 DB 권한을 다시 확인한다.
|
|
* @param {import('h3').H3Event} event - 요청 이벤트
|
|
* @returns {Promise<void>}
|
|
*/
|
|
export default defineEventHandler(async (event) => {
|
|
const pathname = getRequestURL(event).pathname
|
|
|
|
if (!pathname.startsWith('/admin/api/') || pathname === '/admin/api/auth/login' || pathname === '/admin/api/auth/logout') {
|
|
return
|
|
}
|
|
|
|
const session = getAdminSession(event)
|
|
|
|
if (!session) {
|
|
throw createError({
|
|
statusCode: 401,
|
|
message: '관리자 로그인이 필요합니다.'
|
|
})
|
|
}
|
|
|
|
const stillPrivileged = await isPrivilegedMember(session.userId)
|
|
|
|
if (!stillPrivileged) {
|
|
throw createError({
|
|
statusCode: 403,
|
|
message: '현재 관리자 권한이 없습니다. 다시 로그인해 주세요.'
|
|
})
|
|
}
|
|
})
|