前端權(quán)限控制的本質(zhì)
做后臺項(xiàng)目區(qū)別于做其它的項(xiàng)目呛讲,權(quán)限驗(yàn)證與安全性是非常重要的沸伏,可以說是一個后臺項(xiàng)目一開始就必須考慮和搭建的基礎(chǔ)核心功能边臼。
一般說來,權(quán)限管理可以分為兩種情況:第一種為頁面級訪問權(quán)限,第二種為數(shù)據(jù)級操作權(quán)限侍咱。第一種情況是非常常見的耐床,即用戶是否能夠看到頁面;第二種情況是用戶能否對數(shù)據(jù)進(jìn)行增刪改查等操作楔脯。
這兩種情況在實(shí)際的前端表現(xiàn)中都是一致的撩轰,即用戶在正常頁面中看不見,看不見就不能操作昧廷,所以進(jìn)行了一次視覺上的隔離堪嫂。
前端的權(quán)限控制實(shí)質(zhì)上就是用于展示,讓操作變得更加友好麸粮,真正的安全實(shí)際上是由后端控制的
這里舉個例子簡單說明一下溉苛。如果用戶通過其他方式繞過了前端的路由控制,訪問到了該用戶原本不能訪問的頁面弄诲,然后呢?頁面中的數(shù)據(jù)需要從后端獲取娇唯,頁面中的操作也需要發(fā)送給后端齐遵,如果后端自身對于所有的請求接口有自己的權(quán)限控制,那么用戶其實(shí)只能看到這個頁面中固有的那些信息塔插。
這里其實(shí)還有一個大家很容易想到的問題:在做接口測試時梗摇,如果系統(tǒng)本身有權(quán)限設(shè)置,但是接口未做權(quán)限想许,那么測試直接使用API測試工具訪問的話…呵呵
所以說前端根本不用糾結(jié)于用戶以各種形式繞過頁面的問題伶授,而以上這些問題在后端那里則根本不是問題。
權(quán)限策略
- 前端記錄所有的權(quán)限流纹。用戶登錄后糜烹,后端返回用戶角色,前端根據(jù)角色自行分配頁面
優(yōu)點(diǎn)是前端完全控制漱凝,想怎么改就怎么改疮蹦;缺點(diǎn)是當(dāng)角色越來越多時,可能會給前端路由編寫上帶來一定的麻煩茸炒。 - 前端僅記錄頁面愕乎,后端記錄權(quán)限。用戶登陸后壁公,后端返回用戶權(quán)限列表感论,前端根據(jù)該列表生成可訪問頁面
優(yōu)點(diǎn)是前端完全基于后端數(shù)據(jù),后期幾乎沒有維護(hù)成本紊册;缺點(diǎn)是為了降低維護(hù)成本比肄,必須擁有菜單配置頁面及權(quán)限分配頁面,否則就是噩夢
接口權(quán)限控制
上文中說到,前端權(quán)限控制中薪前,真正能實(shí)現(xiàn)安全的是接口润努,所以先實(shí)現(xiàn)接口的權(quán)限控制,而且這里聽上去很重要示括,但實(shí)際上卻很簡單铺浇。
接口權(quán)限控制說白了就是對用戶的校驗(yàn)。正常來說垛膝,在用戶登錄時服務(wù)器應(yīng)給前臺返回一個token鳍侣,以后前臺每次調(diào)用接口時都需要帶上這個token,服務(wù)端獲取到這個token后進(jìn)行比對吼拥,如果通過則可以訪問倚聚。
我們通過對axios進(jìn)行簡單的設(shè)置,增加請求攔截器凿可,為每個請求的Header信息中增加Token惑折。以下為偽代碼:
const service = axios.create()
// http request 攔截器
// 每次請求都為http頭增加Authorization字段,其內(nèi)容為token
service.interceptors.request.use(
config => {
config.headers.Authorization = `${token}`
return config
}
);
export default service
這樣簡單的設(shè)置后即可實(shí)現(xiàn)在每次接口權(quán)限控制的前端部分枯跑。接下來則是分別講述“頁面級訪問控制”和“數(shù)據(jù)級操作控制”的前端實(shí)現(xiàn)方式惨驶。
頁面級訪問權(quán)限控制
雖然頁面級訪問控制實(shí)質(zhì)上應(yīng)該是控制頁面是否顯示,但落在實(shí)際中則有兩種不同的情況:
- 菜單中的頁面是否能被訪問
- 顯示系統(tǒng)中所有菜單敛助,當(dāng)用戶訪問不在自己權(quán)限范圍內(nèi)的頁面時提示權(quán)限不足粗卜。
- 只顯示當(dāng)前用戶能訪問的菜單,如果用戶通過URL進(jìn)行強(qiáng)制訪問纳击,則會直接404续扔。
- 頁面中的按鈕(增、刪焕数、改)的權(quán)限控制是否顯示
至于第一種形式纱昧,個人認(rèn)為在用戶體驗(yàn)上非常不好,但不排除有某些特殊場景會用到這種方式百匆。而本篇的權(quán)限控制是基于第二種形式砌些。
依據(jù)剛才選定的方式,及上文中提到的權(quán)限策略加匈,我們能夠聯(lián)想并梳理出一個大致的流程存璃,這也是本篇中實(shí)際權(quán)限的流程:
登錄 ——> 獲取該用戶權(quán)限列表并存儲 ——> 根據(jù)權(quán)限列表生成能夠訪問的菜單 ——> 點(diǎn)擊菜單,進(jìn)入頁面
在對流程梳理完成后我們開始進(jìn)行詳細(xì)的編寫雕拼。
創(chuàng)建路由表
創(chuàng)建路由表實(shí)際上沒有什么難度纵东,照著vue-router官方文檔給的示例直接寫就行了。但是因?yàn)橛胁糠猪撁媸遣恍枰L問權(quán)限的啥寇,
所以需要將登錄偎球、404洒扎、維護(hù)等頁面寫到默認(rèn)的路由中,而將其它的需要權(quán)限的頁面寫到一個變量或者一個文件中衰絮,這樣可
以有效的減輕后續(xù)的維護(hù)壓力袍冷。
下面將index.js的代碼貼上,異步路由將適量減少猫牡,以免占過多篇幅胡诗。
路由表配置
// router/index.js
import Vue from 'vue'
import Router from 'vue-router'
import App from '@/App'
import store from '../store/index'
Vue.use(Router);
//手動跳轉(zhuǎn)的頁面白名單
const whiteList = [
'/'
];
//默認(rèn)不需要權(quán)限的頁面
const constantRouterMap = [
{
path: '/',
name: '登錄',
component: (resolve) => require(['@/components/login'], resolve)
},
{
path: '/index',
name: 'nav.Home',
component: (resolve) => require(['@/components/index'], resolve)
},
{
path: '/templateMake',
name: '模板制作',
component: (resolve) => require(['@/components/Template/templateMake'], resolve)
},
{
path: '/programMack',
name: '節(jié)目制作',
component: (resolve) => require(['@/components/Template/programMack'], resolve)
},
{
path: '/release',
name: '節(jié)目發(fā)布',
component: (resolve) => require(['@/components/Program/release'], resolve)
}
]
//注冊路由
export const router = new Router({
routes: constantRouterMap
});
//異步路由(需要權(quán)限的頁面)
export const asyncRouterMap = [
{
path: '/resource',
name: 'nav.Resource',
meta: {
permission: []
},
component: (resolve) => require(['@/components/Resource/resource'], resolve)
},
{
path: '/template',
name: 'nav.Template',
meta: {
permission: []
},
component: (resolve) => require(['@/components/Template/template'], resolve)
},
{
path: '/generalSet',
name: 'nav.System',
meta: {
permission: []
},
component: (resolve) => require(['@/components/SystemSet/generalSet'], resolve)
},
{
path: '',
name: 'nav.Log',
component: App,
children: [
{
path: '/userLog',
name: 'nav.UserLog',
meta: {
permission: []
},
component: (resolve) => require(['@/components/Log/userLog'], resolve),
},
{
path: '/operatingLog',
name: 'nav.SystemLog',
meta: {
permission: []
},
component: (resolve) => require(['@/components/Log/operatingLog'], resolve),
},
]
}
]
];
注意事項(xiàng):這里有一個需要非常注意的地方就是 404 頁面一定要最后加載,如果放在constantRouterMap一同聲明了404淌友,后面的所以頁面都會被攔截到404
頁面訪問權(quán)限
在開始時我們梳理了一個大致的頁面訪問權(quán)限流程煌恢。下面我們先實(shí)現(xiàn)最核心的部分:
登錄 -> 獲取用戶權(quán)限并存儲 -> 根據(jù)用戶權(quán)限選擇性渲染菜單 -> 點(diǎn)擊菜單隨意進(jìn)入權(quán)限內(nèi)的頁面
我們首先獲取用戶權(quán)限列表,在這里我們將接觸到vuex狀態(tài)管理震庭,官方文檔有詳細(xì)介紹瑰抵,這里就不過多描述了,下面請看代碼
// store/index.js
import Axios from 'axios'
import Vue from 'vue'
import Vuex from 'vuex'
Vue.use(Vuex);
const axios = Axios.create();
const state = {
mode: 'login',
list: []
};
const getters = {};
const mutations = {
setMode: (state, data) => {
state.mode = data
},
setList: (state, data) => {
state.list = data
}
};
const actions = {
// 獲取權(quán)限列表
getPermission({commit}) {
return new Promise((resolve, reject) => {
axios({
url: '/privilege/queryPrivilege?id=' + sessionStorage.getItem('privId'),
methods: 'get',
headers: {
token: sessionStorage.getItem('token'),
name: sessionStorage.getItem('name')
}
}).then((res) => {
// 存儲權(quán)限列表
commit('setList', res.data.cust.privileges[0].children);
resolve(res.data.cust.privileges[0].children)
}).catch(() => {
reject()
})
})
}
};
export default new Vuex.Store({
state,
mutations,
actions,
getters
})
好了器联,我們現(xiàn)在請求后臺拿到了權(quán)限數(shù)據(jù)二汛,并將數(shù)據(jù)存放到了vuex中,下面我們需要利用返回數(shù)據(jù)匹配之前寫的異步路由表拨拓,將匹配結(jié)果和靜態(tài)路由表結(jié)合习贫,開成最終的實(shí)際路由表。
其中最關(guān)鍵的是利用vue-router2.2.0版本新添加的一個addRoutes方法千元,我們看看官方文檔如何解釋此方法的:
router.addRoutes(routes) 2.2.0+
動態(tài)添加更多的路由規(guī)則。參數(shù)必須是一個符合 routes 選項(xiàng)要求的數(shù)組颤绕。
addRoutes
那我們現(xiàn)在就可以開始使用addRoutes進(jìn)行路由匹配了幸海。下面看代碼:
// router/index.js
/**
* 根據(jù)權(quán)限匹配路由
* @param {array} permission 權(quán)限列表(菜單列表)
* @param {array} asyncRouter 異步路由對象
*/
function routerMatch(permission, asyncRouter) {
return new Promise((resolve) => {
const routers = [];
// 創(chuàng)建路由
function createRouter(permission) {
// 根據(jù)路徑匹配到的router對象添加到routers中即可
permission.forEach((item) => {
if (item.children && item.children.length) {
createRouter(item.children)
}
let path = item.path;
// 循環(huán)異步路由,將符合權(quán)限列表的路由加入到routers中
asyncRouter.find((s) => {
if (s.path === '') {
s.children.find((y) => {
if (y.path === path) {
y.meta.permission = item.permission;
routers.push(s);
}
})
}
if (s.path === path) {
s.meta.permission = item.permission;
routers.push(s);
}
})
})
}
createRouter(permission)
resolve([routers])
})
}
編寫導(dǎo)航鉤子
// router/index.js
router.beforeEach((to, form, next) => {
if (sessionStorage.getItem('token')) {
if (to.path === '/') {
router.replace('/index')
} else {
console.log(store.state.list.length);
if (store.state.list.length === 0) {
//如果沒有權(quán)限列表奥务,將重新向后臺請求一次
store.dispatch('getPermission').then(res => {
//調(diào)用權(quán)限匹配的方法
routerMatch(res, asyncRouterMap).then(res => {
//將匹配出來的權(quán)限列表進(jìn)行addRoutes
router.addRoutes(res[0]);
next(to.path)
})
}).catch(() => {
router.replace('/')
})
} else {
if (to.matched.length) {
next()
} else {
router.replace('/')
}
}
}
} else {
if (whiteList.indexOf(to.path) >= 0) {
next()
} else {
router.replace('/')
}
}
});
到這里我們已經(jīng)完成了對頁面訪問的權(quán)限控制物独,接下來我們來講解一下操作按扭的權(quán)限部分。
數(shù)據(jù)操作權(quán)限
是否還記得前面的路由配置中我們多出來的一個代碼氯葬,下面我們拿出來看看:
//異步路由(需要權(quán)限的頁面)
export const asyncRouterMap = [
{
path: '/resource',
name: 'nav.Resource',
meta: {
permission: []
},
component: (resolve) => require(['@/components/Resource/resource'], resolve)
},
{
path: '/template',
name: 'nav.Template',
meta: {
permission: []
},
component: (resolve) => require(['@/components/Template/template'], resolve)
},
{
path: '/generalSet',
name: 'nav.System',
meta: {
permission: []
},
component: (resolve) => require(['@/components/SystemSet/generalSet'], resolve)
},
{
path: '',
name: 'nav.Log',
component: App,
children: [
{
path: '/userLog',
name: 'nav.UserLog',
meta: {
permission: []
},
component: (resolve) => require(['@/components/Log/userLog'], resolve),
},
{
path: '/operatingLog',
name: 'nav.SystemLog',
meta: {
permission: []
},
component: (resolve) => require(['@/components/Log/operatingLog'], resolve),
},
]
}
]
];
為每個路由頁面增加meta字段挡篓。在routerMatch函數(shù)中將匹配到的詳細(xì)權(quán)限字段賦值到這里。這樣在每個頁面的route對象中就會得到這個字段帚称。
asyncRouter.find((s) => {
if (s.path === '') {
s.children.find((y) => {
if (y.path === path) {
//賦值
y.meta.permission = item.permission;
routers.push(s);
}
})
}
if (s.path === path) {
s.meta.permission = item.permission;
routers.push(s);
}
})
接下來我們編寫一個vue自定義指令對頁面中需要進(jìn)行鑒權(quán)的元素進(jìn)行判斷官研,比如類似這樣的:
<a @click="upload" v-allow="'3'"></a> /* 3代表一個上傳權(quán)限的ID,權(quán)限中有3則顯示按鈕 */
我們直接注冊一個全局指令闯睹,利用vnode來訪問vue的方法戏羽。代碼如下:
//main.js
//按扭權(quán)限指令
Vue.directive('allow', {
inserted: (el, binding, vnode) => {
let permissionList = vnode.context.$route.meta.permission;
if (!permissionList.includes(binding.value)) {
el.parentNode.removeChild(el)
}
}
})
至此為止,權(quán)限控制流程就已經(jīng)完全結(jié)束了楼吃,在最后我們再看一下完整的權(quán)限控制流程圖吧.
