摘要:有一天突然想到一個問題,端的權(quán)限控制真的能控制權(quán)限嗎僅僅靠前端�����,能不能做到真正的權(quán)限控制如果需要后臺配合���,應該如何配合可能這是一個老生常談的問題���,但還是想整理下,有誤的地方望大家指出���。
有一天突然想到一個問題��,web端的權(quán)限控制:
1.真的能控制權(quán)限嗎�?
2.僅僅靠前端�,能不能做到真正的權(quán)限控制?
3.如果需要后臺配合����,應該如何配合����?
可能這是一個老生常談的問題�����,但還是想整理下�,有誤的地方望大家指出。
何為權(quán)限控制
權(quán)限控制大致分為兩個維度:
垂直維度: 控制用戶可以訪問哪些url的權(quán)限
水平維度: 控制用戶訪問特定url��,獲取哪些數(shù)據(jù)的權(quán)限(e.g. 普通用戶���、管理員��、超級管理員訪問同一url�,獲取的數(shù)據(jù)是不同的)
Web權(quán)限控制方案List
前后端不分離:以Java為例�,后端通過jsp、freemark����、thmeleaf等模板來渲染相應權(quán)限的數(shù)據(jù),渲染完呈現(xiàn)在瀏覽器端
前后端分離:
SPA單頁面應用���,路由由前端控制���,前端通過js控制hash路由的權(quán)限
SSR服務端渲染,Node中間層做代理路由�,判斷權(quán)限渲染特定的路由至瀏覽器端
SPA前端權(quán)限控制方案
SPA: 單頁Web應用(single page web application)將所有web活動局限于一個html頁面中,利用js通過hash或者瀏覽器history api來實現(xiàn)無刷新路由跳轉(zhuǎn)�,前后端通過ajax數(shù)據(jù)通信,避免了瀏覽器的刷新重新加載��,為用戶提供流程的操作體驗�����。這意味著前端接管了路由層��,需要通過調(diào)用前端自身的MVC模塊���,來渲染不同的頁面�。
Base on:
Vue 前端MVVM框架
Vuex 狀態(tài)管理機
Vue-router 路由
Axios HTTP請求庫
1.登陸事件Login
// 1.觸發(fā)登陸事件
dispatch("login")
// actions
commit(types.LOGIN_SUCCESS, res.data.data)
...
2.獲取Token����,經(jīng)Base64編碼后存至sessionStorage
// mutations
const mutations = {
[types.LOGIN_SUCCESS] (state, data) {
state.authlock = false
// 2.登陸成功回調(diào)拿到token,經(jīng)Base64 編碼后存入本地sessionStorage
let token = Base64.encode(data + ":HIKDATAE")
sessionStorage.setItem("userToken", token)
// 路由跳轉(zhuǎn)至目標頁面
router.push({name: "xxx"})
},
[types.LOGOUT_SUCCESS] (state) {
state.authlock = true
// 登出成功回調(diào),移除本地token
sessionStorage.removeItem("userToken")
router.push({name: "Login"})
}
}
3.所有HTTP Header Authorization 加上編碼后的token(前后端可約定規(guī)則)
// Axios 請求鉤子(request)
axios.interceptors.request.use(req => {
let token = sessionStorage.getItem("user")
if (token) {
// 3.token 存在,則在之后所有請求的http請求頭 Authorization 帶上base64編碼后的token,后臺拿到token后進行驗證權(quán)限
req.headers.Authorization = `Basic ${token}`
}
req.data = qs.stringify(req.data)
return req
}, error => {
return Promise.reject(error)
})
瀏覽器http header
4.請求攔截:后臺拿到token后對每個請求進行校驗,若校驗失敗返回401����,前端response鉤子里統(tǒng)一catch error 跳轉(zhuǎn)至登陸頁面
// Axios 請求鉤子(response)
axios.interceptors.response.use(res => {
return res
}, error => {
if (error.response) {
switch (error.response.status) {
// 4.所有接口response校驗鉤子,若token檢驗失敗,后臺返回 401 error code, 清除token信息并跳轉(zhuǎn)到登錄頁面
case 401:
store.commit(types.LOGOUT)
router.replace({
path: "/login"
})
}
}
return Promise.reject(error)
})
5.路由跳轉(zhuǎn)攔截:任意路由跳轉(zhuǎn)時����,在路由beforeEach鉤子里校驗本地是否存在token���,若沒有��,則跳轉(zhuǎn)至登陸頁面
// 路由鉤子(每個路由跳轉(zhuǎn)前調(diào)起beforeEach鉤子)
router.beforeEach((to, from, next) => {
if (to.path === "/login") {
sessionStorage.removeItem("userToken")
}
let user = sessionStorage.getItem("userToken")
if (!user && to.path !== "/login") {
// 若本地token不存在,則任意路由跳轉(zhuǎn)的時候,重定向至login 登陸頁面
next({ path: "/login" })
} else {
next()
}
})
6.登出Logout:清楚本地sessionStorage的token信息
// mutations
const mutations = {
...
[types.LOGOUT_SUCCESS] (state) {
state.authlock = true
// 登出成功回調(diào),移除本地token
sessionStorage.removeItem("userToken")
router.push({name: "Login"})
}
}
流程示意圖如下:
寫完才覺得����,什么才是真正的安全權(quán)限�?任重而道遠。�����。����。
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://m.hztianpu.com/yun/90621.html
