发布时间:2024-02-24 16:00
在Web系统中, 权限很久以来一直都只是后端程序所控制的.为什么呢?
后端权限
从根本上讲前端仅仅只是视图层的展示, 权限的核心是在于服务器中的数据变化, 所以后端才是权限的关键, 后端权限可以控制某个用户是否能够查询数据, 是否能够修改数据等操作
后端如何知道该请求是哪个用户发过来的
cookie
session
token
后端的权限设计RBAC
用户
角色
权限
前端权限
前端权限的控制本质上来说, 就是控制前端的 视图层的展示和前端所发送的请求. 但是只有前端权限控制没有后端权限控制是万万不可的. 前端权限控制只可以说是达到锦上添花的效果.
如果仅从能够修改服务器中数据库中的数据层面上讲,确实只在后端做控制就足够了, 那为什么越来越多的项目也进行了前端权限的控制, 主要有这几方面的好处
降低非法操作的可能性
不怕贼偷就怕贼惦记, 在页面中展示出一个 就算点击了也最终会失败 的按钮, 势必会增加有心者非法操作的可能性
尽可能排除不必要请求,减轻服务器压力
没必要的请求, 操作失败的请求, 不具备权限的请求, 应该压根就不需要发送, 请求少了, 自然也会减轻服务器的压力
提高用户体验
根据用户具备的权限为该用户展现自己权限范围内的内容,避免在界面上给用户带来困扰, 让用户专注于分内之事
在登录请求中, 会得到权限数据, 当然, 这个需要后端返回数据的支持. 前端根据权限数据, 展示对应的菜单.点击菜单,才能查看相关的界面.
如果用户没有登录,手动在地址栏敲入管理界面的地址, 则需要跳转到登录界面
如果用户已经登录, 可是手动敲入非权限内的地址, 则需要跳转404界面
在某个菜单的界面中, 还得根据权限数据, 展示出可进行操作的按钮, 比如删除,修改,增加
如果用户通过非常规操作, 比如通过浏览器调试工具将某些禁用的按钮变成启用状态, 此时发的请求, 也应该被前端所拦截
查看登录之后获取到的数据
{
"data": {
"id": 500,
"rid": 0,
"username": "admin",
"mobile": "13999999999",
"email": "123999@qq.com",
"token": "Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1aWQiOjUwMCwicmlkIjowLCJpYXQiOjE1MTI1NDQyOTksImV4cCI6MTUxMjYzMDY5OX0.eGrsrvwHm-tPsO9r_pxHIQ5i5L1kX9RX444uwnRGaIM"
},
"rights": [{
"id": 125,
"authName": "用户管理",
"icon": "icon-user",
"children": [{
"id": 110,
"authName": "用户列表",
"path": "users",
"rights": ["view", "edit", "add", "delete"]
}]
{
"id": 103,
"authName": "角色管理",
"icon": "icon-tijikongjian",
"children": [{
"id": 111,
"authName": "角色列表",
"path": "roles",
"rights": ["view", "edit", "add", "delete"]
}]
}, {
"id": 101,
"authName": "商品管理",
"icon": "icon-shangpin",
"children": [{
"id": 104,
"authName": "商品列表",
"path": "goods",
"rights": ["view", "edit", "add", "delete"]
}, {
"id": 121,
"authName": "商品分类",
"path": "categories",
"rights": ["view", "edit", "add", "delete"]
}]
}],
"meta": {
"msg": "登录成功",
"status": 200
}
}
在这部分数据中, 除了该用户的基本信息之外, 还有两个字段很关键
根据rights中的数据, 动态渲染左侧菜单栏, 数据在Login.vue得到, 但是在Home.vue才使用, 所以可以把数据用vuex进行维护
vuex中的代码
export default new Vuex.Store({
state: {
rightList:[]
},
mutations: {
setRightList(state, data) {
state.rightList = data
}
},
actions: {
},
getters: {
}
})
Login.vue的代码
login() {
this.$refs.loginFormRef.validate(async valid => {
......
this.$store.commit('setRightList', res.rights)
this.$message.success('登录成功')
this.$router.push('/home')
})
}
Home.vue的代码
import { mapState } from 'vuex'
computed: {
...mapState(['rightList'])
}
created() {
this.activePath = window.sessionStorage.getItem('activePath')
this.menulist = this.rightList
},
刷新界面菜单消失
原因分析
因为菜单数据是登录之后才获取到的, 获取菜单数据之后,就存放在Vuex中
一旦刷新界面, Vuex中的数据会重新初始化, 所以会变成空的数组
因此, 需要将权限数据存储在sessionStorage中, 并让其和Vuex中的数据保持同步
代码解决
export default new Vuex.Store({
state: {
rightList:JSON.parse(sessionStorage.getItem('rightList')||'[]')
},
mutations: {
setRightList(state, data) {
state.rightList = data
sessionStorage.setItem('rightList',JSON.stringify(data))
}
},
actions: {
},
getters: {
}
})
标识用户名, 方便查看当前用户
vuex的代码
export default new Vuex.Store({
state: {
rightList:JSON.parse(sessionStorage.getItem('rightList')||'[]'),
username: sessionStorage.getItem('username')
},
mutations: {
setRightList(state, data) {
state.rightList = data
sessionStorage.setItem('rightList',JSON.stringify(data))
},
setUsername(state, data) {
state.username = data
sessionStorage.setItem('username',data)
}
},
actions: {
},
getters: {
}
})
Login.vue的代码
login() {
this.$refs.loginFormRef.validate(async valid => {
......
this.$store.commit('setRightList', res.rights)
this.$store.commit('setUsername', res.data.username)
this.$message.success('登录成功')
this.$router.push('/home')
})
}
Home.vue的代码
computed: {
...mapState(['rightList','username'])
}
<el-button type="info" @click="logout">{{username}}退出</el-button>
退出按钮的逻辑
logout() {
sessionStorage.clear()
this.$router.push('/login')
window.location.reload()
},
1.正常的逻辑是通过登录界面, 登录成功之后跳转到管理平台界面, 但是如果用户直接敲入管理平台的地址, 也是可以跳过登录的步骤.所以应该在某个时机判断用户是否登录
如何判断是否登录
sessionStorage.setItem('token', res.data.token)
什么时机
路由导航守卫
router.beforeEach((to, from, next) => {
if (to.path === '/login') {
next()
} else {
const token = sessionStorage.getItem('token')
if(!token) {
next('/login')
} else {
next()
}
}
})
2.虽然菜单项已经被控制住了, 但是路由信息还是完整的存在于浏览器,正比如zhangsan这个用户并不具备角色这个菜单, 但是他如果自己在地址栏中敲入/roles的地址, 依然也可以访问角色界面
路由导航守卫
路由导航守卫固然可以在每次路由地址发生变化的时候, 从vuex中取出rightList判断用户将要访问的界面, 这个用户到底有没有权限.不过从另外一个角度来说,这个用户不具备权限的路由, 是否也应该压根就不存在呢?
动态路由
登录成功之后动态添加
App.vue中添加
代码如下:
router.js
import Vue from 'vue'
import Router from 'vue-router'
import Login from '@/components/Login.vue'
import Home from '@/components/Home.vue'
import Welcome from '@/components/Welcome.vue'
import Users from '@/components/user/Users.vue'
import Roles from '@/components/role/Roles.vue'
import GoodsCate from '@/components/goods/GoodsCate.vue'
import GoodsList from '@/components/goods/GoodsList.vue'
import NotFound from '@/components/NotFound.vue'
import store from '@/store'
Vue.use(Router)
const userRule = { path: '/users', component: Users }
const roleRule = { path: '/roles', component: Roles }
const goodsRule = { path: '/goods', component: GoodsList }
const categoryRule = { path: '/categories', component: GoodsCate }
const ruleMapping = {
'users': userRule,
'roles': roleRule,
'goods': goodsRule,
'categories': categoryRule
}
const router = new Router({
routes: [
{
path: '/',
redirect: '/home'
},
{
path: '/login',
component: Login
},
{
path: '/home',
component: Home,
redirect: '/welcome',
children: [
{ path: '/welcome', component: Welcome },
// { path: '/users', component: Users },
// { path: '/roles', component: Roles },
// { path: '/goods', component: GoodsList },
// { path: '/categories', component: GoodsCate }
]
},
{
path: '*',
component: NotFound
}
]
})
router.beforeEach((to, from, next) => {
if (to.path === '/login') {
next()
} else {
const token = sessionStorage.getItem('token')
if(!token) {
next('/login')
} else {
next()
}
}
})
export function initDynamicRoutes() {
const currentRoutes = router.options.routes
const rightList = store.state.rightList
rightList.forEach(item => {
item.children.forEach(item => {
currentRoutes[2].children.push(ruleMapping[item.path])
})
})
router.addRoutes(currentRoutes)
}
export default router
Login.vue
import { initDynamicRoutes } from '@/router.js'
login() {
this.$refs.loginFormRef.validate(async valid => {
if (!valid) return
const { data: res } = await this.$http.post('login', this.loginForm)
if (res.meta.status !== 200) return this.$message.error('登录失败!')
this.$store.commit('setRightList', res.rights)
this.$store.commit('setUsername', res.data.username)
sessionStorage.setItem('token', res.data.token)
initDynamicRoutes()
this.$message.success('登录成功')
this.$router.push('/home')
})
}
App.vue
import { initDynamicRoutes } from '@/router.js'
export default {
name: 'app',
created() {
initDynamicRoutes()
}
}
按钮控制
虽然用户可以看到某些界面了, 但是这个界面的一些按钮,该用户可能是没有权限的.因此, 我们需要对组件中的一些按钮进行控制. 用户不具备权限的按钮就隐藏或者禁用, 而在这块中, 可以把该逻辑放到自定义指令中
permission.js
import Vue from 'vue'
import router from '@/router.js'
Vue.directive('permission', {
inserted: function(el, binding){
const action = binding.value.action
const currentRight = router.currentRoute.meta
if(currentRight) {
if(currentRight.indexOf(action) == -1) {
// 不具备权限
const type = binding.value.effect
if(type === 'disabled') {
el.disabled = true
el.classList.add('is-disabled')
} else {
el.parentNode.removeChild(el)
}
}
}
}
})
main.js
import './utils/permission.js'
router.js
export function initDynamicRoutes() {
const currentRoutes = router.options.routes
const rightList = store.state.rightList
rightList.forEach(item => {
item.children.forEach(item => {
const itemRule = ruleMapping[item.path]
itemRule.meta = item.rights
currentRoutes[2].children.push(itemRule)
})
})
router.addRoutes(currentRoutes)
}
使用指令
v-permission="{action:'add'}"
v-permission="{action:'delete', effect:'disabled'}"
除了登录请求都得要带上token, 这样服务器才可以鉴别你的身份
axios.interceptors.request.use(function(req){
const currentUrl = req.url
if(currentUrl !== 'login') {
req.headers.Authorization = sessionStorage.getItem('token')
}
return req
})
如果发出了非权限内的请求, 应该直接在前端访问内组织,虽然这个请求发到服务器也会被拒绝
import axios from 'axios'
import Vue from 'vue'
import router from '../router'
// 配置请求的跟路径, 目前用mock模拟数据, 所以暂时把这一项注释起来
// axios.defaults.baseURL = 'http://127.0.0.1:8888/api/private/v1/'
const actionMapping = {
get: 'view',
post: 'add',
put: 'edit',
delete: 'delete'
}
axios.interceptors.request.use(function(req){
const currentUrl = req.url
if(currentUrl !== 'login') {
req.headers.Authorization = sessionStorage.getItem('token')
// 当前模块中具备的权限
// 查看 get请求
// 增加 post请求
// 修改 put请求
// 删除 delete请求
const method = req.method
// 根据请求, 得到是哪种操作
const action = actionMapping[method]
// 判断action是否存在当前路由的权限中
const rights = router.currentRoute.meta
if(rights && rights.indexOf(action) == -1) {
// 没有权限
alert('没有权限')
return Promise.reject(new Error('没有权限'))
}
}
return req
})
axios.interceptors.response.use(function(res){
return res
})
Vue.prototype.$http = axios
得到了服务器返回的状态码401, 代表token超时或者被篡改了, 此时应该强制跳转到登录界面
axios.interceptors.response.use(function(res){
if (res.data.meta.status === 401) {
router.push('/login')
sessionStorage.clear()
window.location.reload()
}
return res
})
前端权限的实现必须要后端提供数据支持, 否则无法实现.
返回的权限数据的结构,前后端需要沟通协商, 怎样的数据使用起来才最方便.
Docker创始人兼CTO宣布离职;特斯拉被爆处于破产边缘;iOS更新,支持京沪地铁卡;谷歌安卓侵权案面临88亿美元赔款丨Q新闻...
Spring框架系列(13) - SpringMVC实现原理之DispatcherServlet的初始化过程
从傅里叶级数(Fourier series)到离散傅里叶变换(Discrete Fourier transform)
开源数据计算引擎,实现媲美ElasticSearch的高性能并发查询
Java Web现代化开发:Spring Boot + Mybatis + Redis二级缓存
南京 | 内推 | 股权激励 | 外企 WLB |慧咨环球 | 混合办公 | 程序员招聘 | 行业领袖 扁平管理 可移民澳洲