前端去實現權限控制聽起來有點扯淡(實際也有點扯淡)����,掩耳盜鈴,主要是擔心安全問題����,但是如果在前后端分離的情況下,需要做一個帶有權限控制的后臺管理系統����,angular基于ui-router應該怎么做呢?
權限的設計中比較常見的就是RBAC基于角色的訪問控制,基本思想是����,對系統操作的各種權限不是直接授予具體的用戶,而是在用戶集合與權限集合之間建立一個角色集合����。每一種角色對應一組相應的權限。
一旦用戶被分配了適當的角色后����,該用戶就擁有此角色的所有操作權限。這樣做的好處是����,不必在每次創建用戶時都進行分配權限的操作,只要分配用戶相應的角色即可����,而且角色的權限變更比用戶的權限變更要少得多����,這樣將簡化用戶的權限管理����,減少系統的開銷。
前端基于angular開發的管理系統在權限控制方面需要處理如下幾種情況:
1����、UI,該用戶對應的角色權限能夠訪問哪些頁面不能訪問哪些頁面����;
2、理由����,當用戶準備跳轉到某一頁面時����,如果沒有該頁面的訪問權,重定向到一個錯誤提示頁面����;
3����、http請求����,該用戶是否具有訪問某些API的權限,如果沒有返回403
如果處理以上問題����?
大致思路是:
1、用戶登錄后從server獲取該用戶的permission
2����、然后建立一個service來保存該permission的映射關系,比如a用戶的permission是查看page1����,page2,那么在路由發生變更之前判斷是否有訪問的權限����,有正常跳轉,沒有則跳轉到統一的403頁面或者其他����。
3����、對于http請求����,可以讓server來處理,判斷用戶是否有請求權限
獲取用戶permission����,比如:
var permissionList; angular.element(document).ready(function() { $.get('/api/UserPermission', function(data) { permissionList = data; angular.bootstrap(document, ['App']); }); }); 這里用到的是jquery的ajax,因為在此之前angular還沒啟動����,如果我們的登錄也是用angular實現,可以在登錄之后讓server返回permission����,然后保存下來。
判斷該用戶是否具有某個權限����,比如:
app.factory('permissions', function($rootScope) { return { hasPermission: function(permission) { if (permission) { if (typeof(permission) == "string") { if (permissionList.indexOf(permission) > -1) { return true; } } } return false; } }; });路由權限控制:
app.run(function($rootScope, $location,$state, permissions) { $rootScope.$on('$stateChangeStart', function(event, toState, toParams, fromState, fromParams) { var permission = toState.permission; if (toState.name!="login"&&!permissions.hasPermission(permission)) { // event.preventDefault(); // $state.transitionTo("login"); } }); }); //路由配置 app.config(function($stateProvider, $urlRouterProvider, $controllerProvider) { app.registerController = $controllerProvider.register; app.loadJs = function(js) { return function($rootScope, $q) { var def = $q.defer(), deps = []; angular.isArray(js) ? (deps = js) : deps.push(js); require(deps, function() { $rootScope.$apply(function() { def.resolve(); }); }); return def.promise; }; }; $urlRouterProvider.otherwise('/login'); $stateProvider.state('login', { url: '/login', templateUrl: '/assets/console/pages/login.html', controller: 'loginController', resolve: { deps: app.loadJs('./controllers/login') } }); $stateProvider.state('index', { url: '/index', templateUrl: '/assets/console/pages/home.html', controller: 'indexController', resolve: { deps: app.loadJs('./controllers/index') }, permission: "super_admin" }); });開發過程中實際會遇到的問題:
1����、登錄后如何刷新頁面����,因為我們的登錄信息部分是server框架實現的����,沒完全分離,所以登錄后登錄信息沒有刷新����,可以通過判斷fromState和toState來判斷是否從登錄頁面跳轉到指定頁面,然后通過 $window.location.reload();實現頁面的整體刷新����。
2、跳轉后當前導航的選中狀態更新����,state成功后刷新UI
app.run(['$rootScope', "$state", '$window', '$location', '$log', function($rootScope, $state, $window, $location, $log) { $rootScope.$on('$stateChangeSuccess', function(evt, toState, roParams, fromState, fromParams) { //如果是登錄進來就刷新頁面 setTimeout(function(){ appCommon.initUI(); },500); }); }]);
