本文旨在指导开发者如何在使用 Mongoose 构建社交应用时,正确地更新用户的好友列表。文章将探讨如何安全有效地处理好友请求的接受流程,并讨论维护用户好友列表的不同策略,包括直接在 User Schema 中维护以及通过查询 FriendRequest Schema 间接获取。同时,本文将强调数据一致性的重要性,并建议使用事务来确保数据库操作的原子性。
在构建社交应用时,管理用户之间的好友关系是一个常见的需求。本文将深入探讨如何使用 Mongoose 在用户接受好友请求后,更新双方用户的好友列表。我们将讨论安全性、数据一致性以及不同的实现策略。
确保请求发送者的身份验证
首先,务必确保好友请求的发送者身份已通过验证。不要依赖客户端发送的 sender ID,因为这可能被篡改。使用服务器端已经验证过的用户 ID,通常可以通过中间件获取。
router.post("/requests", (req, res) => { const { receiver } = req.body; FriendRequest.create({ sender: req.user._id, // 从经过身份验证的用户获取 sender ID receiver, }) .then(() => { res.status(204).send(); }) .catch((error) => { res.status(500).send("Error sending friend request"); }); });
维护好友列表的策略:直接 vs. 间接
有两种主要策略来维护好友列表:
- 直接方法: 在 User Schema 中维护一个 friends 数组,存储好友的 ObjectId。
- 间接方法: 依赖 FriendRequest Schema,通过查询 status 为 “accepted” 的请求来获取好友列表。
间接方法:查询 FriendRequest Schema
如果采用间接方法,你无需在 User Schema 中维护 friends 数组。你可以通过查询 FriendRequest 集合来动态获取好友列表。
FriendRequest.find({ $or: [ { sender: req.user._id, status: "accepted" }, { receiver: req.user._id, status: "accepted" }, ], }) .then((listOfFriends) => { console.log(listOfFriends); }) .catch((e) => { // 处理错误 });
这种方法的优点是避免了在多个地方更新数据,降低了数据不一致的风险。
直接方法:更新 User Schema 中的 friends 数组
如果选择在 User Schema 中维护 friends 数组,需要在接受好友请求时更新双方用户的 friends 数组。
router.post("/requests/:id/accept", async (req, res) => { try { const request = await FriendRequest.findById(req.params.id); if (!request) { return res.status(404).send("Friend request not found"); } request.status = "accepted"; await request.save(); const currentUser = await User.findById(request.receiver); const friendUser = await User.findById(request.sender); if (!currentUser || !friendUser) { return res.status(404).send("User not found"); } currentUser.friends.push(request.sender); friendUser.friends.push(request.receiver); await currentUser.save(); await friendUser.save(); res.redirect("/requests"); } catch (error) { console.error(error); res.status(500).send("Error accepting friend request"); } });
重要注意事项:使用事务
当同时更新多个集合(例如 FriendRequest 和 User)时,必须使用事务来保证数据的一致性。如果服务器在更新过程中崩溃,事务可以回滚所有更改,防止数据损坏。
以下是如何使用 Mongoose 事务的示例:
const mongoose = require('mongoose'); router.post("/requests/:id/accept", async (req, res) => { const session = await mongoose.startSession(); session.startTransaction(); try { const request = await FriendRequest.findById(req.params.id).session(session); if (!request) { await session.abortTransaction(); session.endSession(); return res.status(404).send("Friend request not found"); } request.status = "accepted"; await request.save({ session }); const currentUser = await User.findById(request.receiver).session(session); const friendUser = await User.findById(request.sender).session(session); if (!currentUser || !friendUser) { await session.abortTransaction(); session.endSession(); return res.status(404).send("User not found"); } currentUser.friends.push(request.sender); friendUser.friends.push(request.receiver); await currentUser.save({ session }); await friendUser.save({ session }); await session.commitTransaction(); session.endSession(); res.redirect("/requests"); } catch (error) { await session.abortTransaction(); session.endSession(); console.error(error); res.status(500).send("Error accepting friend request"); } });
代码解释:
- mongoose.startSession(): 启动一个新的 Mongoose 会话,用于事务管理。
- session.startTransaction(): 开始事务。
- .session(session): 将会话传递给所有 Mongoose 操作 (例如 findById, save)。
- session.commitTransaction(): 提交事务,将所有更改保存到数据库。
- session.abortTransaction(): 如果出现错误,中止事务,回滚所有更改。
- session.endSession(): 结束会话。
总结
管理用户好友关系需要仔细考虑安全性、数据一致性和性能。 使用经过身份验证的用户 ID,选择适合你的应用需求的维护策略(直接或间接),并始终使用事务来保证数据一致性,这些都是至关重要的。 通过遵循这些最佳实践,你可以构建一个健壮且可靠的社交应用。