前端权限控制

访客4年前黑客文章708

一、前言

在成熟的电商系统中,权限治理是不可或缺的一个环节。天真的权限治理有助于治理员对差别的职员分配差别的权限,在知足营业需要的同时保证敏感数据只对有权限的人开放。笔者最近对系统的权限治理做了一次革新,在此分享一些履历以供参考。


二、权限治理基础

权限治理一样平常分以下 3 个基础观点:

  • 功效点
  • 角色
  • 用户

它们之间的关系一句话就能说清楚:一个用户可以拥有多个角色,而一个角色可以包罗多个功效。好比一个员工可以既有收银员的角色,也有库管员的角色。对于收银员这个角色,可以有开单收银、查看订单、查看会员信息等功效点。


此外另有 2 个观点:

  • 功效权限
  • 数据权限

它们之间的关系举例来说明:
想象一个连锁店的场景,某个门店的治理员具有查看营收的功效权限,和查看自己门店数据的数据权限;高级治理员同样拥有查看营收的功效权限,并且有更高的数据权限,可以查看所有门店数据的数据。


三、前端权限控制

下面我们聚焦到前端领域,聊聊前端应该怎么做权限设计。前端本质上只有 1 种权限类型:组件权限。为了更好的明白和治理,又将组件权限拆分为以下 3 类:


每一个权限最终都市落到权限点上。权限点可以明白为一个数据编码,有这个权限点就说明有对应的功效权限。权限点的编码要注意 2 点:

  • 全局唯一
  • 只管短小(削减带宽消耗,由于一个用户可能会有许多权限点)

需要控制权限的地方,都要界说一个权限点,然后告诉后端。一个用户所有的权限点会以数组的形式返回。判断是否有权限就是从数组中匹配一个米素。下面以 React 为例,聊聊详细的实现方式。

对于页面的权限判断,可以在 React Router 的 onEnter 回调中判断:

// 编码映射,下面的 getUrlCodeByName 会用到
export default {
    order_list:          'zaq0', // 订单列表
    order_detail:        'xsw1', // 订单详情
    order_refund_list:   'cde2', // 订单退款列表
    order_refund_detail: 'vfr3', // 订单退款详情
    order_deduct_modify: 'bgt4', // 订单修改业绩
};

function canAccessUrl(urlName) {
    const moduleCode = getUrlCodeByName(urlName); // 权限点一样平常是一个没意义的编码,为了易于明白,前端做了一个编码映射
    return accesses.u.indexOf(moduleCode) > -1;   // accesses.u 数组是后端返回的所有 url 权限点
}

function routerOnEnterCheck(urlName) {
    return function routerOnEnter(nextState, replace) {
        if (!canAccessUrl(urlName)) {
            replace('/unauthorized');
        }
    };
}

...

{
    path: 'list',
    getComponent: loadAsync(() => import(/* webpackChunkName: "order" */ '../../order/List')),
    onEnter: routerOnEnterCheck('order_list'),
}

...

对于菜单和组件的权限判断,大体上长这样:

// 用以缓存是否有权限接见组件
const componentAccessCache = {};

/**
 * 检查接见组件的权限
 * 一个组件可能会重复 render 多次,而组件权限的数目可能会超多(上百个),因此将权限缓存起来以提高性能
 */
function canAccessComponent(module, componentName) {
    if (!module || !componentName) {
        console.error(`canAccessComponent ${module} ${componentName} 缺参数`);
    }

    const key = `${module}.${componentName}`;

    let result = componentAccessCache[key];

    if (result !== undefined) {
        return result;
    }

    const moduleCode = getComponentCodeByModuleAndName(module, componentName);  // 权限点一样平常是一个没意义的编码,为了更易于明白,前端做了一个编码映射

    result = accesses.c.indexOf(moduleCode) > -1;    // accesses.c 数组是后端返回的所有组件权限点

    componentAccessCache[key] = result;

    return result;
}

class SomeComponent extends PureComponent {

    ...
    
    render() {
        return (
            ...
            {
                canAccessComponent('asset', 'buy_pay') &&
                <Button
                    type="primary"
                    className="btn-buy"
                    onClick={() => (buy(num))}
                >
                立刻订购
                </Button>
            }
            ...
        )
    }
}

组件权限点的判断也可以封装成高阶组件的形式,这样看起来会舒适一点,但本质上是一样的,不再赘述。

权限点的获取笔者放在了 node 端,通过全局变量的形式注入到页面中,保证首屏的时刻出现的页面是由权限点过滤过的。此外接口返回的权限点是一个一维数组,为了加速前端检索速率,在 node 端凭据编码规则将权限点分为 3 类(菜单/页面/组件),详细细节就不细说了。


四、总结

本文先容了权限治理的基础知识,还连系 React 讲解了前端权限控制的一些细节。手艺方案比较简单,真正贫苦的是每一个权限点的界说及录入,以及对现有系统的革新。革新过程中可以分模块举行迭代,究竟罗马不是一天就能建成。

来自:https://segmentfault.com/a/1190000018759018


思源资源网:分类流动

1.阿里云: 本站现在使用的是阿里云主机,平安/可靠/稳固。点击领取2000米代金券、领会最新阿里云产物的种种优惠流动点击进入

相关文章

房产知识:怎样办理住房公积金还房贷

相信现在有很多的朋友们对于怎样办理住房公积金还房贷都想要了解吧,那么今天小编就来给大家针对怎样办理住房公积金还房贷进行一个介绍吧,希望小编介绍的内容能够为大家起到帮助哦 用公积金还房贷,有三种...

香肠是煮熟还是蒸熟

香肠不管是蒸还是煮都是可以的。但是香肠属于一种风味食品,为了保持其独特的香的风味,蒸的口感好,同时不会破坏营养成分。煮着吃会使香肠的营养都流失在水里,味道也会淡化,反而损失其特有的香味。 香肠蒸制的...

商业银行资本总额计算公式(金融人士必藏公式)

  一、资产负债比例管理指标:   1.备付金比例=备付金余额÷各项存款余额×100%-法定存款准备金比例;(标准:不得低于3%)   备付金包括:现金、业务周转金、缴存存款准备金、存农业银行款项、存...

刻骨铭心的话(句句有深意,一针见血)

刻骨铭心的话(句句有深意,一针见血) 一 * 人生就是一场正能量与负能量的较量!同样的起跑线,负能量的人,还未开始就输了人生! 二 * 你本一无所有,何不放手一搏,搏赢了,好日子,搏输了,原来...

如何寻找黑客微信号(只有一个微信号,黑客可以查到对方吗)

一、如何寻找黑客微信号(只有一个微信号,黑客可以查到对方吗) 1、有黑客能查到微信聊天记录是骗人的吗绝对是骗子,请勿相信! 微信聊天信息保存在本地 一般聊天信息都是保存在本地的,除非开通会员可以将聊...