一、是什么
权限是对特定资源的访问许可, 所谓权限控制,也就是确保用户只能访问到被分配的资源,而严端权限归根结底是请求的发起权,请求的发起可能有下面两种方式触发
- 页面加载触发
- 页面上的按钮点击触发
总的来说,所有的请求发起都触发前端路由或视图,所以我们可以从两方面入手,对触发权限的源头进行控制,最终要实现的目的是:
- 路由方面,用户登录后只能看待自己有权访问的导航菜单,也只能访问自己有权访问的路由地址,否则跳转到4xx提示页面
- 视图方面,用户只能看到自己有权浏览的内容和有权操控的控件
- 最后再加上请求控制作为最后一道防线,路由可能配置失误,按钮可能忘了假权限,这种时候请求控制可以用来兜底,越权请求将在前端被拦截
二、如何做
前端权限控制可以分为四个方面:
- 接口权限
- 按钮权限
- 菜单权限
- 路由权限
接口权限
接口权限目采用jwt的形式来验证,没有的话一般返回404,跳转到登录页面重新进入登录完成拿到token,将token存起来,通过axios请求拦截器进行拦截,每次请求的时候头部携带token
axios.interceptors.request.use(config => {
config.headers['token'] = cookie.get('token')
return config
})
axios.interceptors.response.use(res=>{},{response}=>{
if (response.data.code === 40099 || response.data.code === 40098) { //token过期或者错误
router.push('/login')
}
})
路由权限的控制
方案1
初始化即挂载全部路由,并且在路由上标记相应的权限信息,每次路由跳转前进行校验
const routerMap = [
{
path: '/permission',
component: Layout,
redirect: '/permission/index',
alwaysShow: true, // will always show the root menu
meta: {
title: 'permission',
icon: 'lock',
roles: ['admin', 'editor'] // you can set roles in root nav
},
children: [{
path: 'page',
component: () => import('@/views/permission/page'),
name: 'pagePermission',
meta: {
title: 'pagePermission',
roles: ['admin'] // or you can only set roles in sub nav
}
}, {
path: 'directive',
component: () => import('@/views/permission/directive'),
name: 'directivePermission',
meta: {
title: 'directivePermission'
// if do not set roles, means: this page does not require permission
}
}]
}]
这种方式有以下四种缺点:
-
加载所有的路由,如果路由很多,而用户并不是所有的路由都有权限访问,对性能会有影响。
-
全局路由守卫里,每次路由跳转都要做权限判断。
-
菜单信息写死在前端,要改个显示文字或权限信息,需要重新编译
-
菜单跟路由耦合在一起,定义路由的时候还有添加菜单显示标题,图标之类的信息,而且路由不一定作为菜单显示,还要多加字段进行标识
按钮权限
方案1
按钮权限也可以用它v-if来判断,但是如果页面过多,每个页面都需要获取用户权限role和路由表里的meta.btnPermissions,然后再做判断,这种凡是就不展开列举了
方案2
通过自定义指令进行按钮权限的判断
1.首先配置路由
{
path: '/permission',
component: Layout,
name: '权限测试',
meta: {
btnPermissions: ['admin', 'supper', 'normal']
},
//页面需要的权限
children: [{
path: 'supper',
component: _import('system/supper'),
name: '权限测试页',
meta: {
btnPermissions: ['admin', 'supper']
} //页面需要的权限
},
{
path: 'normal',
component: _import('system/normal'),
name: '权限测试页',
meta: {
btnPermissions: ['admin']
} //页面需要的权限
}]
}
2.自定义权限指令
import Vue from 'vue'
/**权限指令**/
const has = Vue.directive('has', {
bind: function (el, binding, vnode) {
// 获取页面按钮权限
let btnPermissionsArr = [];
if(binding.value){
// 如果指令传值,获取指令参数,根据指令参数和当前登录人按钮权限做比较。
btnPermissionsArr = Array.of(binding.value);
}else{
// 否则获取路由中的参数,根据路由的btnPermissionsArr和当前登录人按钮权限做比较。
btnPermissionsArr = vnode.context.$route.meta.btnPermissions;
}
if (!Vue.prototype.$_has(btnPermissionsArr)) {
el.parentNode.removeChild(el);
}
}
});
// 权限检查方法
Vue.prototype.$_has = function (value) {
let isExist = false;
// 获取用户按钮权限
let btnPermissionsStr = sessionStorage.getItem("btnPermissions");
if (btnPermissionsStr == undefined || btnPermissionsStr == null) {
return false;
}
if (value.indexOf(btnPermissionsStr) > -1) {
isExist = true;
}
return isExist;
};
export {has}
3.在使用的按钮中只需要引用v-has指令
<el-button @click='editClick' type="primary" v-has>编辑</el-button>
总结:
1.权限控制目前我在项目中用到的有接口验证,比如有些页面只有当用户登录了才能有相应页面的权限,此权限控制一般也是使用jwt方式或者跳转到404页面。跳转到登录页面 让用户进行登录,登录后获取用户的token,保存起来,然后使用axios进行请求拦截,对于一些需要验证的页面请求的时候加上用户的token进行条状
2.还有就是一些按钮权限,比如再任务发布模块的发布按钮,由于每个职员的权限不一样,只有特定职员才有发布的权限,我在项目中用到的是使用v-if去判断
3.还有就是路由权限,给路由设置元信息,每次对于一些特殊路由跳转的时候,根绝这个元信息去判断是否拥有这个权限再进行下一步跳转
