deleting api product now use 2 validations and by user Id and product Id

Rober040992 · Jan 14, 2025 · 708aff7 · 708aff7
1 parent b63bf42
commit 708aff7
Show file tree

Hide file tree

Showing 2 changed files with 15 additions and 1 deletion.
diff --git a/nodepop/controllers/api/apiProductController.js b/nodepop/controllers/api/apiProductController.js
@@ -1,4 +1,5 @@
 import Product from "../../models/Product.js"
+import createError from 'http-errors'
 // iportamos el modelo del producto
 //      API CRUD METHODS
 
@@ -94,7 +95,20 @@ export async function apiProductUpdate(req, res, next) {
 export async function apiProductDelete(req, res, next) {
     try {
          //recogemos del los parametros de la ruta
+         const apiUserId = req.apiUserID
          const productId = req.params.productId
+
+        const product = await Product.findOne({ _id: productId }) //validar que el producto existe
+        if (!product) {
+            console.warn(`WARNING - el usuario ${apiUserId} está intentando eliminar un producto inexistente`)
+            return next(createError(404))
+        }
+
+        if (product.owner.toString() !== apiUserId) { //validar que le pertenece
+            console.warn(`WARNING - el usuario ${apiUserId} está intentando eliminar un producto de otro usuario`)
+            return next(createError(401))
+        }
+
          // buscamos el product en la DB pasandole el filtro de el que vamos a borrar
          await Product.deleteOne({ _id: productId })
 

diff --git a/nodepop/controllers/productController.js b/nodepop/controllers/productController.js
@@ -52,7 +52,7 @@ export async function deleteProduct(req, res, next) {
     }
     //verificar que el owner coincide con el userId , si no lanzo un warn
     if (product.owner.toString() !== userId) {
-        console.warn(`WARNING - el usuario ${userId} está intentando eliminar un agente de otro usuario`)
+        console.warn(`WARNING - el usuario ${userId} está intentando eliminar un producto de otro usuario`)
         return next(createError(401, 'Not authorized'))
     }