关于门户的前端权限控制

关于门户的前端权限控制

前沿:我所理解的门户Portal就是一个入口, 可快速整合应用入口,用来统一账号管理、统一认证登录,打破信息孤岛等,做统一的权限管理,也可以实现单点登录 SSO。早期的MVC时代,web应用其实就有通过权限去控制页面、菜单、按钮等的显示和隐藏,只不过呈现方式不同,大多以php和jsp等为主,随着前后端分离后,前端也成了权限控制的扛把子,主要是从以下这几个角度去实现,路由层面、视图层面以及接口层面

1.路由层面

一般SPA应用结合vue-router和vuex实现完成的一套路由体系,主要两种方式,一种是通过vue-router addRoutes 方法注入路由实现控制,另外一个是直接通过vue-router beforeEach钩子限制路由跳转
1.1 router.beforeEach()

beforeEach钩子函数就是在路由跳转前执行的,通过注册 router.beforeEach 钩子对路由的每次跳转进行管理,每次跳转都进行检查,如果目标路由不存再于基本路由和当前用户的用户路由中,则取消跳转,转为跳转错误页或登录页面
在路由定义时添加meta的一个属性,来控制判断该页面是否需要登录权限

1.2 动态路由 (DynamicRoutes)

用来实现页面访问权限,动态路由通过router.addRoutes() ,来只挂载当前用户拥有权限的路由,如果用户直接访问未授权的路由,则会进入404页面。但是前提是需要用户登录后获取路由权限,一般动态挂载是在router.beforeEach处理的,下面我们看具体实现
定义好需要动态挂载的路由,区分是分为初始路由和根据role角色来动态挂载的“用户路由”,比如constantRoutes和 asyncRoutes

router.beforeEach 添加 router.addRoutes 事件 文档链接

为了防止重复配置相同路由,在添加路由之前判断是否已经存在角色权限

获取拥有权限的路由,generateRoutes的实现

通过递归的方式去过滤去用户的路由权限,通过router.addRoutes()动态添加所有符合权限的路由,当然这种方式需要依赖后端。对于不同角色的用户,是由后端将路由列表告诉给前端注册

‍ 啊乐同学: 如果这个时候我退出登录了,然后没有刷新页面,重新登录另一个不同权限的用户,那岂不是路由会重复?
答:你在路由文件中定义resetRouter的方法,新建一个全新的 Router,然后将新的 Router.matcher 给当前的Router,在登出的模块中调用resetRouter方法

总结:

beforeEach 是需要靠我们手动去帮 vue-router “辨别哪些页面可以访问,哪些不可以 ”
addRoutes 则是通过注入路由配置告诉 vue-router “我就只认这些路由,其它路由地址跟我无关”
2.视图层面

上一节聊的路由方面的权限控制,主要在控制菜单页面权限,那如果是按钮权限,应该怎么做?比如页面中的按钮 (增、删、改、查)的权限控制是否显示
2.1 指令控制

可以结合vue的自定义指令,实现一个权限指令比如 v-auth来控制权限,来判断对应模块是否拥有某个权限时,如果没有则移除当前按钮dom元素,下面我们看下这个实现方式

通过自定义权限指令v-auth来实现按钮权限控制,通过传入权限角色数组列表,来控制元素是否显示

‍ 啊乐同学: 为啥不直接用 v-if 或者 v-show 去控制显示隐藏,而是自定义指令?
答:因为 v-show 的话,dom其实没有隐藏,用户可以改变display就看到,v-if呢,则是删除之后会遗留备注

思考 : 如果要实现按钮显示但是禁用的情况,上面的例子应该如何修改?

推荐阅读:

vue-element-admin后台前端解决方案
手摸手,带你用vue撸后台 系列二(登录权限篇)
3.接口层面

我们在项目使用中,请求库以axios较多,我们通常会使用axios的API axios.interceptors.request.use 也就是拦截器来做权限管理
请求头添加 token认证,或者也可以直接使用cookie中的授权信息,前提是要配置 withCredentials为true,也就是axios.defaults.withCredentials = true, 开启withCredentials后,服务器才能拿到你的cookie

拦截器拦截接口返回结果,比如401没有登录权限。

你可能感兴趣的:(Vue,vue.js)