权限控制权限控制权限控制权限控制权限控制

1.权限的分类

视频学习:https://www.bilibili.com/video/BV15Q4y1K79c/?spm_id_from=333.337.search-card.all.click&vd_source=386b4f5aae076490e1ad9b863a467f37

1.1 后端权限

1. 后端如何知道该请求是哪个用户发过来的

可以根据 cookiesessiontoken,一般是根据token获取的

2. 后端的权限设计RBAC

权限一般是分配给角色角色下有很多用户,这样用户就有对应的权限
一个用户可以有多个角色,一个角色下有很多用户

1.2 前端权限

1.必要性

前端权限的控制本质上来说, 就是控制端的视图层的展示和前端所发送的请求。但是只有前端权限控制没有后端权限控制是万万不可的。 前端权限控制只可以说是达到锦上添花的效果。

2.好处

为什么越来越多的项目也进行了前端权限的控制, 主要有这几方面的好处:

  1. 降低非法操作的可能性,无权限的按钮可能会带来有心者非法操作
  2. 尽可能排除不必要清求, 减轻服务器压力
  3. 提高用户体验,避免在界面上给用户带来困扰, 让用户专注于分内之事

2.前端权限控制思路

2.1 菜单的控制

根据后端返回的数据. 前端展示对应的菜单. 点击菜单, 才能查看相关的界面

2.2 界面的控制

如果用户没有登录, 手动在地址栏敲入管理界面的地址, 则需要跳转到登录界面
如果用户已经登录, 如果手动敲入非权限内的地址, 则需要跳转404 界面

2.3 按钮的控制

在某个菜单的界面中, 还得根据权限数据, 展示出可进行操作的按钮,比如删除, 修改, 增加

2.4 请求和响应的控制

如果用户通过非常规操作, 比如通过浏览器调试工具将某些禁用的按钮变成启用状态, 此时发的请求, 也应该被前端所拦截

3.实现步骤

3.1 权限菜单栏控制

3.1.1 登录按钮

  1. 点击登录按钮 ,获取token和侧边栏数据,将侧边栏数据存入vuex中
  2. 在home组件中获取侧边栏数据,渲染到侧边栏

出现的问题:刷新浏览器,vuex的数据会被清空
解决:与sessionStorage结合使用

store文件下的index.js

import Vue from 'vue
import Vuex from 'vuex
Vue .use(Vuex)

export default new Vuex.store({
	state:{
		rightlist:JsoN.parse(sessionstorage.getItem('rightList')||'[]')
	},
	mutations:{
		setRightList(state, data){
			state.rightList = data
			sessionStorage.setItem('rightList',JSON.stringify(data))
		},
	...

login.vue的代码:

login(){
	this.$refs.loginFormRef.validate(async valid =>{
		...
		this.$store.commit('setRightList', res.rights)
		this.$message.success('登录成功')
		this.$router .push('/home')
		})
	}

home.vue的代码:

import{mapstate }from 'vuex'
computed:{
	...mapstate(['rightList'])
}
created(){
	this.activePath =window.sessionstorage.getItem('activePath')
	this.menulist = this.rightList
}

3.1.2 登出按钮

期望:退出后,清空sessionStorage缓存和vuex的数据

logout(){
	// 删除sessionstorage中的数据
	sessionStorage.clear()
	this.$router.push("/login')
	// 删除vuex中的数据,让当前的界面刷新
	window.location.reload()
}

3.2 界面的控制

3.2.1 登录成功之后才能跳转到管理平台界面。

但是如果用户直接敲入管理平台的地址,也是可以跳过登录的步骤,所以应该在某个时机判断用户是否登录
1)如何判断是否登录
缓存中是否有token

sessionStorage.setItem('token', res.data.token)

2)什么时候判断
路由导航守卫

router.beforeEach((to,from,next)=>{
	if(to.path ==='/login'){
		next()
	} else {
		const token =sessionstorage.getItem('token')
		if(!token){
			next('/login')
		} else {
			next()
		}
	}
})

3.2.2 具备菜单权限才能跳转到访问页面

虽然菜单项已经被控制住了,但是路由信息还是完整的存在于浏览器,正比如zhangsan这个用户并不具备角色这个菜单,但是他如果自己在地址栏中敲入/roles的地址,依然也可以访问角色界面
路由导航守卫固然可以在每次路由地址发生变化的时候,从vuex中取出rightlist判断用户将要访问的界面,这个用户到底有没有权限。不过从另外一个角度来说,这个用户不具备权限的路由,是否也应该压根就不存在呢?
router.js

import Vue from "vue
import Router from 'yue-router
import Login from '@/components/Login.vue'
import Home from'@/components/Home.vue'
import welcome from '@/components/welcome.vue'
import Users from'@/components/user/Users.vue'
import Roles from'@/components/role/Roles.vue'
import GoodsCate from '@/components/goods/GoodsCate.vue'
importGoodsList from '@/components/goods/GoodsList.vue'
import NotFound from '@/components/NotFound.vue'
import store from '@/store1mport'

Vue.use(Router)

const userRule={path:/users',component:Users }
const roleRule ={path:'/roles', component: Roles }
const goodsRule={path:'/goods', component: GoodsList }
const categoryRule ={ path:"/categories', component: Goodscate }

const ruleMapping ={
'users': userRule,
'roles': roleRule,
'goods': goodsRule,
'categories': categoryRule
}

const router = new Router({
	routes:[
		{
			path:'/'redirect:'/home',
		},
		{
			path:'/1ogin',
			component: Login,
		},
		{
			path:'/home',
			component:Home,
			redirect:"/welcome
			children:[
			{ path:'/welcome',component:welcome },
			//{path:'/users',component:Users },
			// { path: '/roles',component:Roles },
			//{ path:'/goods',component:GoodsList },
			//{path:"/categories',component: GoodsCate }
		}
	},
	{
		path:'*',
		component: NotFound
	}
]
}]

router.beforeEach((to,from,next)=>{
	if(to.path ==='/login'){
		next()
	} else {
		const token =sessionstorage.getItem('token')
		if(!token){
			next('/login')
		} else {
			next()
		}
	}
})
		
export function initDynamicRoutes(){
	//根据二级权限,对路由规则进行动态的添加
	const currentRoutes =router.options.routes
	const rightList =store.state.rightList
	rightList.forEach(item =>{
		item.children.forEach(item =>{
			//item 二级权限
			const temp = ruleMapping[item.path]
			//设置路由元信息
			temp.meta = item.rights
			//添加动态路由
			currentRoutes[2].children.push(temp)
		})
	})
	router .addRoutes(currentRoutes)
}

export default router		

Login.vue

import {initDynamicRoutes } from '@/router.js'

login(){
	this.Srefs.loginFormRef.validate(async valid =>{
		if(!valid)return
		const { data:res }= await this.$http.post('login', this.loginForm)
		if(res.meta.status !== 200) return this.$message.error('登录失败!')
		this.$store.commit('setRightList',res.rights)				
		this.$store.commit('setusername',res.data.username)
		sessionStorage.setItem('token',res.data.token)
		initDynamicRoutes()
		this.$message.success('登录成功')
		this.Srouter .push('/home')
	})
}

问题: 如果我们重新刷新的话动态路由就会消失,动态路由是在登录成功之后才会调用的,刷新的时候并没有调用,所以动态路由没有添加上
解决: 可以在app.vue中的created中调用添加动态路由的方法

`App.vue`

```javascript
import { initDynamicRoutes }from '@/router.js'
export default {
	name: 'app'
	created(){
		initDynamicRoutes()
	}
}

3.3 按钮的控制

虽然用户可以看到某些界面了,但是这个界面的一些按钮,该用户可能是没有权限的.因此,我们需要对组件中的一些按钮进行控制,用户不具备权限的按钮就隐藏或者禁用,而在这块中,可以把该逻辑放到自定义指令

  • permission.js
    自定义指令——显示还是隐藏按钮
import Vue from 'vue
import router from '@/router.js'
Vue.directive('permission', {
	inserted: function(el, binding){
		const action = binding.value.action
		//获取当前路由的meta
		const currentRight =router.currentRoute.meta
		if(currentRight){
			if(currentRight.indexof(action)==-1){
				// 不具备权限
				const type = binding.value.effect
				//禁用按钮
				if(type ==='disabled'){
					el.disabled = true
					el.classList.add('is-disabled')
				else {
				//不显示按钮
					el.parentNode.removechild(el)
				}
			}
		}
  • main.is
    引入自定义指令
import'./utils/permission.js'
  • router.js
    router中通过meta获取按钮权限
export function initDynamicRoutes(){
	const currentRoutes =router.options.routes
	const rightList =store.state.rightList
	rightList.forEach(item =>{
		item.children.forEach(item =>{
			//下面是核心的两行,router中加入meta
			const itemRule =ruleMapping[item.path]
			itemRule.meta=item.rights
			currentRoutes[2].children.push(itemRule)
	})
})
router.addRoutes(currentRoutes)
  • 使用指令
v-permission="{action:'add'}"
v-permission="{action:'delete', effect:'disabled'}"

3.4 请求和响应的控制

3.4.1 请求控制

  • 除了登录请求都得要带上token,这样服务器才可以鉴别你的身份
axios.interceptors.request.use(function(reg){
	const currentUrl =reg.ur1
	if(currenturl !== 'login'){
		req.headers.Authorization =sessionstorage.getItem('token')
	}
	return reg
})
  • 如果发出了非权限内的请求,应该直接在前端范围内组织,虽然这个请求发到服务器也会被拒绝
import axios from'axios'
import Vue from 'vue'
import router from '../router'
//配置请求的跟路径,目前用mock模拟数据,所以暂时把这一项注释起来
// axios.defaults.baseURL = 'http://127.0.0.1:8888/api/private/v1/'
const actionMapping={
	get:'view',
	post:'add',
	put: 'edit',
	delete:'delete'
}

axios.interceptors.request.use(function(req){
	const currentUrl=req.url
	if(currenturl !== 'login'){
		req.headers.Authorization =sessionStorage.getItem('token')
		// 当前模块中具备的杈限
		// 查看 get请求
		// 增加post请求
		// 修改put请求
		// 删除delete请求
		const method =reg.method
		// 根据请求,得到是哪种操作
		const actión= actionMapping[method]
		// 判断action是否存在当前路由的权限中
		const rights =router.currentRoute.meta
		if(rights && rights.indexof(action)==-1){
		// 没有权限
		alert("没有权限")
		return Promise.reject(new Error('没有权限'))
		}
	}
	return reg
})

axios.interceptors.response.use(function(res){
	return res
})
Vue.prototype.$http =axios

3.4.2 响应控制

  • 得到了服务器返回的状态码401,代表token超时或者被篡改了,此时应该强制跳转到登录界面
axios.interceptors.response.use(function(res){
	if(res.data.meta.status === 401){
		router.push('/login')
		sessionstorage.clear()
		window.location.reload()
	}
	return res
})

4. 小结

前端权限的实现之须要后端提供数据支持, 否则无法实现。
返回的权限数据的结构, 前后端需要沟通协商怎样的数据便用起来才最方便

4.1 菜单控制

  • 权限的数据需要在多组件之间共享, 因此采用vuex
  • 防止刷新界面, 权限数据丢失, 所以需要存在sessionStorage, 并目要保证两者的同步

4.2 界面控制

  • 路由的导航守卫可以防止跳过登录界面
  • 动态路由可以让不具备权限的界面的路由规则压根就不存在

4.3 按钮控制

  • 路由规则中可以增加路由元数据meta
  • 通过路由对象可以得到当前的路由规则以及存在此规则中的meta 数据
  • 自定义指令可以很方便的实现按钮控制

4.4 请求和响应控制

  • 请求拦截器和响应拦截器的使用
  • 请求方式的约定restful
    在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/770915.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

昇思25天学习打卡营第15天 | Vision Transformer图像分类

内容介绍: 近些年,随着基于自注意(Self-Attention)结构的模型的发展,特别是Transformer模型的提出,极大地促进了自然语言处理模型的发展。由于Transformers的计算效率和可扩展性,它已经能够训练…

【机器学习】机器学习与图像识别的融合应用与性能优化新探索

文章目录 引言第一章:机器学习在图像识别中的应用1.1 数据预处理1.1.1 数据清洗1.1.2 数据归一化1.1.3 数据增强 1.2 模型选择1.2.1 卷积神经网络1.2.2 迁移学习1.2.3 混合模型 1.3 模型训练1.3.1 梯度下降1.3.2 随机梯度下降1.3.3 Adam优化器 1.4 模型评估与性能优…

Docker镜像加速配置

由于当前运营商网络问题,可能会导致您拉取 Docker Hub 镜像变慢,索引可以配置阿里云镜像加速器。阿里云登录 - 欢迎登录阿里云,安全稳定的云计算服务平台 每个人镜像地址都不一样,需要登陆阿里云自行查看,地址在上面&a…

ctfshow-web入门-文件包含(web78、web79、web80、web81)

目录 1、web78 2、web79 3、web80 4、web81 1、web78 存在文件包含函数:include 直接上 php 伪协议,用 php://filter 读文件(flag.php)的源码,payload: ?filephp://filter/readconvert.base64-encode…

轻松实现百度大模型ERNIE对话

该代码直接可用,实现了流式输出,只需要在你自己的开发环境配置百度申请的QIANFAN_AK和QIANFAN_SK即可使用啦。// # 在.env文件中,设置以下内容,安全认证Access Key替换your_iam_ak,Secret Key替换your_iam_sk 不过需要…

Linux Ubuntu 将指定ip添加到DNS

请严格按照如下步骤操作 以ip地址:202.96.134.133 为例 1.修改 /etc/resolv.conf 文件 sudo gedit /etc/resolv.conf 添加 nameserver 8.8.8.8 和 nameserver 202.96.134.133, 如下图方框指定内容: 2.修改 /etc/resolvconf/resolv.conf.d…

Python28-7.1降维算法之LDA线性判别分析

线性判别分析(Linear Discriminant Analysis, LDA)是一种用于模式识别和机器学习的分类和降维技术。LDA通过找到能最大化类别间方差和最小化类别内方差的投影方向,实现样本的降维和分类。 LDA的基本思想 LDA的核心思想是通过线性变换将数据…

Docker学习笔记(一)概念理解

一、什么是docker容器 Docker容器是一种轻量级、可移植的软件封装技术,它允许开发者将应用程序及其依赖、配置文件、运行环境等打包到一个独立的、自包含的执行单元中。容器与虚拟机相似,都提供了隔离的运行环境,但容器更加轻量级&#xff0c…

Echarts折线+柱状图的多y轴

实现效果&#xff1a; 代码&#xff1a; <template><div class"test-echart"><div id"barLineChart" ref"barLineChart" :style"barLineStyle"></div></div> </template> <script> // imp…

MySQL之MHA高可用集群及故障切换

一、MHA概述 MHA&#xff08;MasterHigh Availability&#xff09;是一套优秀的mysql高可用环境下故障切换和主从复制的软件。MHA的出现就是为了解决mysql单点故障。Mysql故障切换过程中&#xff0c;MHA能做到0-30秒内自动完成故障性切换操作。MHA能在故障切换的过程中最大程度…

【路由交换技术】Cisco Packet Tracer基础入门教程(五)

这一期我们来学习端口聚合&#xff0c;这是针对交换机的技术 前言 不知道大家有没有注意到&#xff0c;我们之前的实验在交换机与交换机之间只用一条线连接&#xff0c;像这样 通过今天的学习&#xff0c;我们要用两条线来连接交换机&#xff0c;就像这样&#xff08;为了能…

3D问界—法线空间与应用举例

问题提出&#xff1a;什么是法线空间&#xff0c;有哪些应用的场景&#xff1f; 法线空间&#xff08;Normal Space&#xff09;在计算机图形学中是一个重要的概念&#xff0c;特别是在处理表面法线&#xff08;Normal&#xff09;时常被提及。 1. 法线空间的分类 法线空间是相…

“工控机”是什么?和普通电脑有区别嘛!

在现代工业生产中,有一种特殊的计算机,它不像普通电脑那样被放置于明亮的办公室内,而是常常藏身于机器轰鸣、环境恶劣的工厂车间里,这就是工控机——工业控制计算机的简称。作为工业自动化领域不可或缺的核心设备,工控机不仅承载着监控与数据采集(SCADA)、过程控制、数据…

python 实现docx指定语言翻译(不丢失格式)

我这边有个需求需要把一份docx翻译成指定语言的文档并且保存&#xff0c;研究了下&#xff0c;记录。 首先先安装依赖 pip install python-docx1.1.2 googletrans4.0.0rc1 python-docx是用来读取docx的&#xff0c;googletrans使用来翻译的。 googletrans PyPI 这个是官方文…

【大语言模型系列之Transformer】

&#x1f3a5;博主&#xff1a;程序员不想YY啊 &#x1f4ab;CSDN优质创作者&#xff0c;CSDN实力新星&#xff0c;CSDN博客专家 &#x1f917;点赞&#x1f388;收藏⭐再看&#x1f4ab;养成习惯 ✨希望本文对您有所裨益&#xff0c;如有不足之处&#xff0c;欢迎在评论区提出…

什么是YUV和IPB,PTS和DTS,视频编码解码过程

YUV 是一种在视频处理和压缩中常用的颜色空间。 它将图像的亮度 (Y) 与色度 (U 和 V) 成分分开。 这种分离对视频压缩和广播非常有益&#xff0c; 因为人眼对亮度变化比对颜色变化更敏感。 YUV 组件简介 Y (亮度)&#xff1a;表示图像的亮度或灰度信息。U (色度)&#xff1a;…

每日一练:攻防世界:Hidden-Message

追踪UDP数据流&#xff0c;没有任何隐藏信息&#xff1a; WP&#xff1a; 观察流量包 每个流的唯一的区别就是UDP的源地址srcport的最后一位在变化 都提取出来就是二进制序列 用tshark提取一下 //使用tshark过滤出源端口&#xff0c;使用cut裁取端口的最后一位 tshark -r 8…

[C/C++] -- gdb调试与coredump

1.gdb调试 GDB&#xff08;GNU 调试器&#xff09;是一个强大的工具&#xff0c;用于调试程序。 安装 1. wget http://ftp.gnu.org/gnu/gdb/gdb-8.1.tar.gz 2. tar -zxvf gdb-8.1.1.tar.gz 3. cd gdb-8.1.1 4. ./configure 5. make 6. make install 基础用法 …

git上传文件

git init git add . git commit -m " " git remote add origin 仓库的地址 git push -u origin master 如果出现以下问题 可以用这一句强制上传 git push -f origin master

BME688 环境传感器

型号简介 BME688是博世&#xff08;bosch-sensortec&#xff09;的一款首款具有人工智能 (AI) 和集成高线性度和高精度压力、湿度和温度传感器的气体传感器。它采用坚固而紧凑的 3.0 x 3.0 x 0.9 mm 封装&#xff0c;专为移动和联网应用而开发&#xff0c;在这些应用中&#xf…