Usuwanie użytkownika Rest Api

Question

Chcę zrobić endpoint usuwania użytkowników: 
 

// @route   POST api/users/deleteUser/:id
// @desc    Delete user
// @access  Private
router.post('/deleteUser/:id', accessTokenVerify, isUserExistIdParams, () => {
    
})

i zastanawiam się czy jest sens wprowadzać takie jakby zabezpiecznie, żeby dowolony użytkownik nie mógł w jakiś dziwny sposób usunąć dowolnego innego użytkownika znając po prostu id tego 2 użytkownika... Myślałem o czymś takim, żeby wyciągnać id z accessTokenu (ponieważ mam je tam zaszyfrowane), porównać z id z parametru url i dopiero jeśli są takie same to usuwać użytkownika. Nie wiem jednak czy jest to najlepsza metoda na to i chcę jedynie zapyać o opinię jak się powinno to robić.

Answer 1

Jesli chcesz, zeby uzytkownik usunal swoje konto (i tylko on byl w stanie to zrobic), to ja w ogole bym zrezygnowal z parametru w urlu i strzelal DELETE na inny endpoint np. /me/delete.

Comments

No ale skądś muszę brać id użytkownika do usunięcia. Póki co zmieniłem tylko POST na DELETE, ale i tak korzystam z parametru..

---

Myślałem o czymś takim, żeby wyciągnać id z accessTokenu

---

strzelal DELETE na inny endpoint np. /me/delete

@kubaapk, a może po prostu DELETE na endpoint /me?

---

Jasne, moze i nawet lepiej.

Answer 2

Zerknij proszę na framework Nest.js. Dostarcza wiele rozwiązań o których piszesz out of the box.