允许已验证用户创建，允许更新如果请求的用户ID对应于它。

在代码中，可以使用以下逻辑来实现此权限控制：

• 针对创建操作，检查用户是否已经通过身份验证，如果是，则允许创建，否则返回未经授权的错误。
• 针对更新操作，从请求中获取用户ID，并将其与要更新的资源的所有者ID进行比较。如果匹配，则允许更新，否则返回未经授权的错误。

以下是示例代码，展示如何使用这个逻辑来进行权限控制：

// 检查是否允许创建 function canCreate(req, res, next) { if (req.isAuthenticated()) { next(); } else { res.status(401).send('Unauthorized'); } }

// 检查是否允许更新 function canUpdate(req, res, next) { const resourceId = req.params.id; const ownerId = getResourceOwnerId(resourceId); const userId = req.user.id;

if (ownerId === userId) { next(); } else { res.status(401).send('Unauthorized'); } }

// 路由定义 app.post('/resources', canCreate, createResource); app.put('/resources/:id', canUpdate, updateResource);