前端如何管理用户权限

一、背景介绍

问题: 假如在做一个管理系统,面向老师学生的,学生提交申请,老师负责审核(或者还需要添加其他角色,功能权限都不同)。 现在的问题是,每种角色登录看到的界面应该都是不一样的,那这个页面的区分如何实现呢?,

我的想法是在一套完整的页面判断权限控制显示隐藏。但是,这样的话,不同角色就是用的同一套前端代码, 所以请求都一样了,但是不同角色的请求都不一样(比如学生查询显示自己的,教师查询显示所有的), 这是否意味着需要通过后台进行用户判断,对同样的请求参数调用不同的方法处理。 另一个方案是,对不同的用户采用独立的页面,这样就会产生大量重复的代码,感觉不可取。 所以想问一下有什么解决方案?

二、知识剖析

权限的设计中比较常见的就是RBAC基于角色的访问控制,基本思想是,对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。 一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。这样做的好处是,不必在每次创建用户时都进行分配权限的操作,只要分配用户相应的角色即可,而且角色的权限变更比用户的权限变更要少得多,这样将简化用户的权限管理,减少系统的开销。

三、常见问题

那我们前端能做的有什么呢?

四、解决方案

我们来简单讲一下在我们使用的angular框架里边,如何进行用户权限管理

五、编码实战

我们来简单讲一下在我们使用的angular框架里边,如何进行用户权限管理

大概思路

1. UI处理(根据用户拥有的权限,判断页面上的一些内容是否显示)

2. 路由处理(当用户访问一个它没有权限访问的url时,跳转到一个错误提示的页面)

3. HTTP请求处理(当我们发送一个数据请求,如果返回的status是401或者403,则通常重定向到一个错误提示的页面)

首先需要在Angular启动之前就获取到当前用户的所有的permissions,然后比较优雅的方式是通过一个service存放这个映射关系.对于UI处理一个页面上的内容是否根据权限进行显示,我们应该通过一个directive来实现.当处理完这些,我们还需要在添加一个路由时额外为其添加一个"permission"属性,并为其赋值表明拥有哪些权限的角色可以跳转这个URL,然后通过Angular监听routeChangeStart事件来进行当前用户是否拥有此URL访问权限的校验.最后还需要一个HTTP拦截器监控当一个请求返回的status是401或者403时,跳转页面到一个错误提示页面.

在Angular运行之前获取到permission的映射关系

var permissionList;

angular.element(document).ready(function() {

$.get('/api/UserPermission', function(data) {

permissionList = data;

angular.bootstrap(document, ['App']);

});

});

进一步使用上面的代码可以将获取到的映射关系放入一个service作为全局变量来使用.
// app.js

var app = angular.module('myApp', []), permissionList;

app.run(function(permissions) {

permissions.setPermissions(permissionList)

});

angular.element(document).ready(function() {

$.get('/api/UserPermission', function(data) {

permissionList = data;

angular.bootstrap(document, ['App']);

});

});

// common_service.js

angular.module('myApp')

.factory('permissions', function ($rootScope) {

var permissionList;

return {

setPermissions: function(permissions) {

permissionList = permissions;

$rootScope.$broadcast('permissionsChanged')

}

};

});

如何确定UI组件的依据权限进行显隐

这里我们需要自己编写一个directive,它会依据权限关系来进行显示或者隐藏元素.

angular.module('myApp').directive('hasPermission', function(permissions) {


return {

link: function(scope, element, attrs) {

if(!_.isString(attrs.hasPermission))

throw "hasPermission value must be a string";

var value = attrs.hasPermission.trim();

var notPermissionFlag = value[0] === '!';

if(notPermissionFlag) {

value = value.slice(1).trim();

}

function toggleVisibilityBasedOnPermission() {

var hasPermission = permissions.hasPermission(value);

if(hasPermission && !notPermissionFlag || !hasPermission && notPermissionFlag)

element.show();

else

element.hide();

}

toggleVisibilityBasedOnPermission();

scope.$on('permissionsChanged', toggleVisibilityBasedOnPermission);

}

};

});

路由上的依权限访问

这一部分的实现的思路是这样: 当我们定义一个路由的时候增加一个permission的属性,属性的值就是有哪些权限才能访问当前url.然后通过routeChangeStart事件一直监听url变化.每次变化url的时候,去校验当前要跳转的url是否符合条件,然后决定是跳转成功还是跳转到错误的提示页面.app.config(function ($routeProvider) {

$routeProvider

.when('/', {

templateUrl: 'views/viewCourses.html',

controller: 'viewCoursesCtrl'

})

.when('/unauthorized', {

templateUrl: 'views/error.html',

controller: 'ErrorCtrl'

})

.when('/courses/:id/edit', {

templateUrl: 'views/editCourses.html',

controller: 'editCourses',

permission: 'Edit'

});

});

父层Controller

app.controller('mainAppCtrl', function($scope, $location, permissions) {

$scope.$on('$routeChangeStart', function(scope, next, current) {

var permission = next.$$route.permission;

if(_.isString(permission) && !permissions.hasPermission(permission))

$location.path('/unauthorized');

});

});

七、参考文献

Angular中在前后端分离模式下实现权限控制 - 基于RBAC

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,839评论 6 482
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,543评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 153,116评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,371评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,384评论 5 374
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,111评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,416评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,053评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,558评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,007评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,117评论 1 334
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,756评论 4 324
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,324评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,315评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,539评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,578评论 2 355
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,877评论 2 345

推荐阅读更多精彩内容