摘要:有一天突然想到一個(gè)問題����,端的權(quán)限控制真的能控制權(quán)限嗎僅僅靠前端,能不能做到真正的權(quán)限控制如果需要后臺(tái)配合�,應(yīng)該如何配合可能這是一個(gè)老生常談的問題,但還是想整理下,有誤的地方望大家指出����。
有一天突然想到一個(gè)問題,web端的權(quán)限控制:
1.真的能控制權(quán)限嗎���?
2.僅僅靠前端����,能不能做到真正的權(quán)限控制���?
3.如果需要后臺(tái)配合�����,應(yīng)該如何配合�?
可能這是一個(gè)老生常談的問題��,但還是想整理下���,有誤的地方望大家指出���。
何為權(quán)限控制
權(quán)限控制大致分為兩個(gè)維度:
垂直維度: 控制用戶可以訪問哪些url的權(quán)限
水平維度: 控制用戶訪問特定url�����,獲取哪些數(shù)據(jù)的權(quán)限(e.g. 普通用戶�、管理員��、超級(jí)管理員訪問同一url���,獲取的數(shù)據(jù)是不同的)
Web權(quán)限控制方案List
前后端不分離:以Java為例,后端通過jsp�����、freemark�、thmeleaf等模板來渲染相應(yīng)權(quán)限的數(shù)據(jù),渲染完呈現(xiàn)在瀏覽器端
前后端分離:
SPA單頁(yè)面應(yīng)用����,路由由前端控制,前端通過js控制hash路由的權(quán)限
SSR服務(wù)端渲染�,Node中間層做代理路由,判斷權(quán)限渲染特定的路由至瀏覽器端
SPA前端權(quán)限控制方案
SPA: 單頁(yè)Web應(yīng)用(single page web application)將所有web活動(dòng)局限于一個(gè)html頁(yè)面中�����,利用js通過hash或者瀏覽器history api來實(shí)現(xiàn)無(wú)刷新路由跳轉(zhuǎn),前后端通過ajax數(shù)據(jù)通信�����,避免了瀏覽器的刷新重新加載�,為用戶提供流程的操作體驗(yàn)。這意味著前端接管了路由層����,需要通過調(diào)用前端自身的MVC模塊,來渲染不同的頁(yè)面���。
Base on:
Vue 前端MVVM框架
Vuex 狀態(tài)管理機(jī)
Vue-router 路由
Axios HTTP請(qǐng)求庫(kù)
1.登陸事件Login
// 1.觸發(fā)登陸事件
dispatch("login")
// actions
commit(types.LOGIN_SUCCESS, res.data.data)
...
2.獲取Token���,經(jīng)Base64編碼后存至sessionStorage
// mutations
const mutations = {
[types.LOGIN_SUCCESS] (state, data) {
state.authlock = false
// 2.登陸成功回調(diào)拿到token,經(jīng)Base64 編碼后存入本地sessionStorage
let token = Base64.encode(data + ":HIKDATAE")
sessionStorage.setItem("userToken", token)
// 路由跳轉(zhuǎn)至目標(biāo)頁(yè)面
router.push({name: "xxx"})
},
[types.LOGOUT_SUCCESS] (state) {
state.authlock = true
// 登出成功回調(diào),移除本地token
sessionStorage.removeItem("userToken")
router.push({name: "Login"})
}
}
3.所有HTTP Header Authorization 加上編碼后的token(前后端可約定規(guī)則)
// Axios 請(qǐng)求鉤子(request)
axios.interceptors.request.use(req => {
let token = sessionStorage.getItem("user")
if (token) {
// 3.token 存在,則在之后所有請(qǐng)求的http請(qǐng)求頭 Authorization 帶上base64編碼后的token,后臺(tái)拿到token后進(jìn)行驗(yàn)證權(quán)限
req.headers.Authorization = `Basic ${token}`
}
req.data = qs.stringify(req.data)
return req
}, error => {
return Promise.reject(error)
})
瀏覽器http header
4.請(qǐng)求攔截:后臺(tái)拿到token后對(duì)每個(gè)請(qǐng)求進(jìn)行校驗(yàn),若校驗(yàn)失敗返回401�,前端response鉤子里統(tǒng)一catch error 跳轉(zhuǎn)至登陸頁(yè)面
// Axios 請(qǐng)求鉤子(response)
axios.interceptors.response.use(res => {
return res
}, error => {
if (error.response) {
switch (error.response.status) {
// 4.所有接口response校驗(yàn)鉤子,若token檢驗(yàn)失敗,后臺(tái)返回 401 error code, 清除token信息并跳轉(zhuǎn)到登錄頁(yè)面
case 401:
store.commit(types.LOGOUT)
router.replace({
path: "/login"
})
}
}
return Promise.reject(error)
})
5.路由跳轉(zhuǎn)攔截:任意路由跳轉(zhuǎn)時(shí),在路由beforeEach鉤子里校驗(yàn)本地是否存在token���,若沒有��,則跳轉(zhuǎn)至登陸頁(yè)面
// 路由鉤子(每個(gè)路由跳轉(zhuǎn)前調(diào)起beforeEach鉤子)
router.beforeEach((to, from, next) => {
if (to.path === "/login") {
sessionStorage.removeItem("userToken")
}
let user = sessionStorage.getItem("userToken")
if (!user && to.path !== "/login") {
// 若本地token不存在,則任意路由跳轉(zhuǎn)的時(shí)候,重定向至login 登陸頁(yè)面
next({ path: "/login" })
} else {
next()
}
})
6.登出Logout:清楚本地sessionStorage的token信息
// mutations
const mutations = {
...
[types.LOGOUT_SUCCESS] (state) {
state.authlock = true
// 登出成功回調(diào),移除本地token
sessionStorage.removeItem("userToken")
router.push({name: "Login"})
}
}
流程示意圖如下:
寫完才覺得�,什么才是真正的安全權(quán)限��?任重而道遠(yuǎn)。�����。���。
文章版權(quán)歸作者所有��,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/90621.html
