Yo uso esta solución. Recibo un token jwt en body req y obtengo información de rol desde allí
const checkRole = role => {
return (req, res, next) => {
if (req.role == role) {
console.log(`${role} role granted`)
next()
} else {
res.status(401).send({ result: 'error', message: `No ${role} permission granted` })
}
}
}
module.exports = { checkRole }
Entonces, primero uso el middleware de autenticación para saber si es un usuario válido, y luego el middleware de rol para saber si el usuario tiene acceso a la ruta de la API
router.post('/v1/something-protected', requireAuth, checkRole('commercial'), (req, res) => {
})
Espero ser de utilidad