专栏首页Super 前端单页应用优化--权限

单页应用优化--权限

版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。

本文链接:https://ligang.blog.csdn.net/article/details/82686892

前段时间,撰写过“ 单页应用优化–懒加载”的问题,这篇我们描述一下单页应用的另外一个问题权限。提起权限,一般会涉及如下几种情况:

  • 应用使用权【登录】
  • 页面级别权限【菜单访问权限】
  • 模块级别权限【区域<组件、按钮>是否显示】
  • 数据级别权限【数据权限】

前端的权限控制实质上就是用于展示,让操作变得更加友好,真正的安全实际上是由后端控制的!

下述所有示例,都使用Vue编写,会重点描述页面级别权限模块级别权限

应用使用权限

这里的使用权限是指用户登录,其实就是简单的判断登录状态而已。通常我们会使用Session进行控制,前端请求携带Cookie(Cookie中保存sessionID),服务端依此进行用户身份识别。然而,使用Session进行管理用户登录状态,在当下后台无状态化盛行的情况下,以及多台节点部署Session同步或者横向扩展(Scale-out,把 session 实现基于中心化的 Redis 服务)等问题(有成熟的解决方法,这里不赘述),已不是最佳方案。

前端后分离的项目中,往往采用Restful风格进行前后端约束,我们通常会在请求头中携带Authorization/Token来解决用户身份识别。

上述流程参考自:https://www.cnblogs.com/qianduantuanzhang/archive/2018/01/05/8204692.html

思路:

第一步:点击登录按钮,触发Vuex中的登录事件,成功返回Token,存储Token到sessionStorage/localStorage中(前后端可以约定相应的编码机制);

// 登录成功
store.commit(types.LOGIN)
/*
 * 1. vuex中存储用户和token信息
 * 2. 同步信息到localStorage中
 * 3. 调整到相关页面
 */

第二步:拦截处理

  • 【请求后台API】Axios Request钩子中,添加Authorization头,服务端获取进行校验;如果存在伪造情况,返回401,前端在Axios Response钩子中,进行捕获处理
 // Axios Request钩子
 axios.interceptors.request.use(req => {
     req.headers.Authorization = store.state.token
     return req;
 }, error => {
     return Promise.reject(error);
 })

 // Axios Response钩子
 axios.interceptors.response.use(res => {
    return res;
 }, error => {
    switch(error.response.status) {
        case 401:
            // 触发退出操作 并跳转到登录页面
            store.commit(types.LOGOUT)
            router.replace({path: '/login'})
    }                           
    return Promise.reject(error);
 })                         
  • 【页面跳转】路由beforeEach钩子进行token信息校验(这里只能校验是否存在,具体准确性无法校验)
 router.beforeEach((to, from, next) => {
     // 注销 或者 没有用户信息
     if(to.path === '/login' || store.state.[info]) {
         store.commit(types.LOGOUT)
         next({path: '/login'})
     } else {
         next()
     }
 })

页面级别权限

需要router.addRoutes动态挂载路由。vue2.2.0以后新增了router.addRoutes,可动态挂载路由,无需在实例化之前就挂载上去的!

  • 创建vue实例的时候将vue-router挂载,但这个时候vue-router挂载一些登录或者不用权限的公用的页面;
  • 当用户登录后,获取用户权限列表,生成最终用户可访问的路由表;
  • 调用router.addRoutes(store.getters.addRouters)添加用户可访问的路由;
  • 使用vuex管理路由表,根据vuex中可访问的路由渲染header、侧边栏组件。

参考地址:https://juejin.im/post/591aa14f570c35006961acac

// 登录成功,触发
this.updateRouter(data.routes)

// ...
methods: {
  // routes是后台返回来的路由信息 routes里应包含404情况
  async updateRouter (routes) {
    // routers默认
    const routers = [{
        path: '/login',
        name: 'login',
        component: login
    },  {
        path: '/',
        component: App,
        redirect: 'index',
        children: []
    }]
    routes.forEach(r => {
      routers[1].children.push({
        name: r.name,
        path: r.path,
        component: () => routesMap[r.component]
      })
    })
    this.$router.addRoutes(routers)
    this.$router.push('/')
  }
}

这样就实现了根据后端的返回动态扩展路由,当然也可以根据后端的返回生成侧栏或顶栏的导航菜单,这样就不需要再在前端处理页面权限了。需要注意的是,上面有待处理问题:

  • 登录成功后默认跳转到’/’,并非后台指定

注意事项:这里有一个需要非常注意的地方就是 404 页面一定要最后加载,如果放在routers一同声明了404,后面的所以页面都会被拦截到404,详细的问题见addRoutes when you’ve got a wildcard route for 404s does not work

对于后台返回的routes的说明: 方式一:后台完整返回整个路由,这里后台需要返回component的加载信息,然后前端直接addRoutes指定路由下(无权限的路由不会挂载,但后台需要指定component地址,前端强制依赖后台); 方式二:后台返回相关路由权限标识,前端将完整路由进行标识展示(所有路由会被挂载

我们采用二者结合方式,使用后台路由标识name(这里需要保证name的唯一性),然后前端根据后台返回的标识对路由进行剔除,动态添加路由。

模块级别权限

某些按钮是否可以点击;某些区域是否可以查看~

组件形式

这里使用render函数,它比template更接近编译器。

// Auth.vue
<script>
  export default {
    name: 'Auth-Comp',
    functional: true,
    // 增加了context来弥补缺少的实例
    render: function(createElement, context) {
        let {props, children, data} = context
        if(props.auth) {
          // return children  
          // 完全透明的传入任何特性、事件监听器、子节点等。
          return createElement('div', data, children)
        } else {
          return null
        }
    }
  }
</script>

// 使用
<Auth-Comp :auth="true"><Hello></Hello></Auth-Comp>

缺点,多添加了一层div,因为不允许存在多个根节点;注意,这里不能使用context.slots().default,因为如果存在具名slots会展示不全

指令形式

Vue.directive('auth', {
  inserted(el, binding, vnode) {
    let {value} = binding
    if(value && !hasPermission(value)) {
        el.parentNode && el.parentNode.removeChild(el)
    }
  }
})

// 使用
<Hello v-auth="true"></Hello>

一个指令定义对象可以提供几个钩子(均可选):

  • bind:指令第一次绑定到元素时调用,只调用一次
  • inserted:被绑定元素插入父节点时调用(仅保证父节点存在,但不一定已被插入文档中);
  • update:所有组件VNode更新时调用,可能发生在其子VNode更新前,可以比较更新前后的值来忽略不必要的模板更新;
  • componentUpdate:指令所在组件的VNode**及其子VNode**全部更新后调用;
  • unbind:只调用一次,指令与元素解绑时调用。

缺点,不能在<template>标签上使用!

数据级别权限

这通常需要服务端根据用户权限对数据进行控制,来确保是否返回给前端,前端根据返回结果进行展示~~~

补充

公司采用的权限标识为8421,即

delete

put

post

get

8

4

2

1

关于权限规则,也可以采用Apache Shiro的规则。printer:query:lp7200 第一部分是域,第二部分是操作,第三部分是正在执行的实例。

参考地址:http://shiro.apache.org/permissions.html

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • npm模块管理器

    npm不需要单独安装。在安装node的时候,会连带一起安装npm。但是,node附带的npm可能不是最新版本,最好用下面的命令,更新到最新版本。

    奋飛
  • MSQL存储引擎及编码格式、权限管理

    版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。

    奋飛
  • 使用Node.js构建命令行工具

    需要注意的是,需要添加片段标识符“!/usr/bin/env node”,告知脚本使用Node执行。 第三步:在package.json文件中补充bin部分

    奋飛
  • Flutter版本玩Android客户端(7)——状态管理

    在上一篇文章Flutter版本玩Android客户端(6)——登录注册模块以及文章收藏与取消中完成了登录模块,但遗留的问题是未进行状态同步,导致left dra...

    用户1108631
  • 我是如何理解Java抽象类和接口的?

    三哥
  • ios Charts MarkerView遇到的一个问题

    两个问题 问题1:最大值的的时候 MarkerView 坐标有问题 ,原因就是最大值的时候,曲线已经在View的顶部了,所以MarkerView 的Y坐标还要...

    赵哥窟
  • 1293: [SCOI2009]生日礼物

    1293: [SCOI2009]生日礼物 Time Limit: 10 Sec  Memory Limit: 162 MB Submit: 1096  Solv...

    HansBug
  • 自建node的简单cli——san-cli

    公司的业务有部分需要兼容IE8,虽然公司内部已有相应的框架,但是百度的San还是引起了个人的兴趣,奈何San这个东西,一年多了配套还有待完善,为了快速构建项目,...

    IT晴天
  • Gradle 提速:每天为你省下一杯喝咖啡的时间

    作为一名 Android 开发同学,当你的工程和代码达到一定规模的时候,相信你一定遇到过编译速度过慢的问题。比如:

    我就是马云飞
  • 目标检测 | ATSS:自适应选择正负样本,消除Anchor-based和Anchor-free算法之间的性能差异

    论文地址:https://arxiv.org/pdf/1912.02424.pdf

    AI算法修炼营

扫码关注云+社区

领取腾讯云代金券