51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

Angular中在前后端分离模式下实现权限控制 - 基于RBAC

作者:顽Shi
开发 前端
权限的设计中比较常见的就是RBAC基于角色的访问控制,基本思想是,对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。

权限的设计中比较常见的就是RBAC基于角色的访问控制,基本思想是,对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。

一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。这样做的好处是,不必在每次创建用户时都进行分配权限的操作,只要分配用户相应的角色即可,而且角色的权限变更比用户的权限变更要少得多,这样将简化用户的权限管理,减少系统的开销。

[[118146]]

在Angular构建的单页面应用中,要实现这样的架构我们需要额外多做一些事.从整体项目上来讲,大约有3处地方,前端工程师需要进行处理.

1.UI处理(根据用户拥有的权限,判断页面上的一些内容是否显示)

2. 路由处理(当用户访问一个它没有权限访问的url时,跳转到一个错误提示的页面)

3. HTTP请求处理(当我们发送一个数据请求,如果返回的status是401或者401,则通常重定向到一个错误提示的页面)

如何实现?

首先需要在Angular启动之前就获取到当前用户的所有的permissions,然后比较优雅的方式是通过一个service存放这个映射关系.对于UI处理一个页面上的内容是否根据权限进行显示,我们应该通过一个directive来实现.当处理完这些,我们还需要在添加一个路由时额外为其添加一个"permission"属性,并为其赋值表明拥有哪些权限的角色可以跳转这个URL,然后通过Angular监听routeChangeStart事件来进行当前用户是否拥有此URL访问权限的校验.***还需要一个HTTP拦截器监控当一个请求返回的status是401或者403时,跳转页面到一个错误提示页面.

大致上的工作就是这些,看起来有些多,其实一个个来还是挺好处理的.

在Angular运行之前获取到permission的映射关系

Angular项目通过ng-app启动,但是一些情况下我们是希望Angular项目的启动在我们的控制之中.比如现在这种情况下,我就希望能获取到当前登录用户的所有permission映射关系后,再启动Angular的App.幸运的是Angular本身提供了这种方式,也就是angular.bootstrap().

  1. var permissionList;  
  2. angular.element(document).ready(function() {  
  3.   $.get('/api/UserPermission'function(data) {  
  4.     permissionList = data;  
  5.     angular.bootstrap(document, ['App']);  
  6.   });  
  7. }); 

看的仔细的人可能会注意到,这里使用的是$.get(),没有错用的是jQuery而不是Angular的$resource或者$http,因为在这个时候Angular还没有启动,它的function我们还无法使用.

进一步使用上面的代码可以将获取到的映射关系放入一个service作为全局变量来使用.

  1. // app.js  
  2. var app = angular.module('myApp', []), permissionList;  
  3.     
  4. app.run(function(permissions) {  
  5.   permissions.setPermissions(permissionList)  
  6. });  
  7.     
  8. angular.element(document).ready(function() {  
  9.   $.get('/api/UserPermission'function(data) {  
  10.     permissionList = data;  
  11.     angular.bootstrap(document, ['App']);  
  12.   });  
  13. });  
  14.    
  15. // common_service.js  
  16. angular.module('myApp')  
  17.   .factory('permissions'function ($rootScope) {  
  18.     var permissionList;  
  19.     return {  
  20.       setPermissions: function(permissions) {  
  21.         permissionList = permissions;  
  22.         $rootScope.$broadcast('permissionsChanged')  
  23.       }  
  24.    };  
  25.   }); 

在取得当前用户的权限集合后,我们将这个集合存档到对应的一个service中,然后又做了2件事:

(1) 将permissions存放到factory变量中,使之一直处于内存中,实现全局变量的作用,但却没有污染命名空间.

(2) 通过$broadcast广播事件,当权限发生变更的时候.

如何确定UI组件的依据权限进行显隐

这里我们需要自己编写一个directive,它会依据权限关系来进行显示或者隐藏元素.

  1. <!-- If the user has edit permission the show a link -->  
  2. <div has-permission='Edit'>  
  3.   <a href="/#/courses/{{ id }}/edit"> {{ name }}</a>  
  4. </div>  
  5.     
  6. <!-- If the user doesn't have edit permission then show text only (Note the "!" before "Edit") -->  
  7. <div has-permission='!Edit'>  
  8.   {{ name }}  
  9. </div> 

这里看到了比较理想的情况是通关一个has-permission属性校验permission的name,如果当前用户有则显示,没有则隐藏.

  1. angular.module('myApp').directive('hasPermission'function(permissions) {  
  2.   return {  
  3.     link: function(scope, element, attrs) {  
  4.       if(!_.isString(attrs.hasPermission))  
  5.         throw "hasPermission value must be a string";  
  6.     
  7.       var value = attrs.hasPermission.trim();  
  8.       var notPermissionFlag = value[0] === '!';  
  9.       if(notPermissionFlag) {  
  10.         value = value.slice(1).trim();  
  11.       }  
  12.     
  13.       function toggleVisibilityBasedOnPermission() {  
  14.         var hasPermission = permissions.hasPermission(value);  
  15.     
  16.         if(hasPermission && !notPermissionFlag || !hasPermission && notPermissionFlag)  
  17.           element.show();  
  18.         else 
  19.           element.hide();  
  20.       }  
  21.       toggleVisibilityBasedOnPermission();  
  22.       scope.$on('permissionsChanged', toggleVisibilityBasedOnPermission);  
  23.     }  
  24.   };  
  25. }); 

扩展一下之前的factory:

  1. angular.module('myApp')  
  2.   .factory('permissions'function ($rootScope) {  
  3.     var permissionList;  
  4.     return {  
  5.       setPermissions: function(permissions) {  
  6.         permissionList = permissions;  
  7.         $rootScope.$broadcast('permissionsChanged')  
  8.       },  
  9.       hasPermission: function (permission) {  
  10.         permission = permission.trim();  
  11.         return _.some(permissionList, function(item) {  
  12.           if(_.isString(item.Name))  
  13.             return item.Name.trim() === permission  
  14.         });  
  15.       }  
  16.    };  
  17.   }); 

#p#

路由上的依权限访问

这一部分的实现的思路是这样: 当我们定义一个路由的时候增加一个permission的属性,属性的值就是有哪些权限才能访问当前url.然后通过routeChangeStart事件一直监听url变化.每次变化url的时候,去校验当前要跳转的url是否符合条件,然后决定是跳转成功还是跳转到错误的提示页面.

router.js:

  1. app.config(function ($routeProvider) {  
  2.   $routeProvider  
  3.     .when('/', {  
  4.       templateUrl: 'views/viewCourses.html',  
  5.       controller: 'viewCoursesCtrl' 
  6.     })  
  7.     .when('/unauthorized', {  
  8.       templateUrl: 'views/error.html',  
  9.       controller: 'ErrorCtrl' 
  10.     })  
  11.     .when('/courses/:id/edit', {  
  12.       templateUrl: 'views/editCourses.html',  
  13.       controller: 'editCourses',  
  14.       permission: 'Edit' 
  15.     });  
  16. }); 

mainController.js 或者 indexController.js (总之是父层Controller)

  1. app.controller('mainAppCtrl'function($scope, $location, permissions) {  
  2.   $scope.$on('$routeChangeStart'function(scope, next, current) {  
  3.     var permission = next.$$route.permission;  
  4.     if(_.isString(permission) && !permissions.hasPermission(permission))  
  5.       $location.path('/unauthorized');  
  6.   });  
  7. }); 

这里依然用到了之前写的hasPermission,这些东西都是高度可复用的.这样就搞定了,在每次view的route跳转前,在父容器的Controller中判断一些它到底有没有跳转的权限即可.

HTTP请求处理

这个应该相对来说好处理一点,思想的思路也很简单.因为Angular应用推荐的是RESTful风格的借口,所以对于HTTP协议的使用很清晰.对于请求返回的status code如果是401或者403则表示没有权限,就跳转到对应的错误提示页面即可.

当然我们不可能每个请求都去手动校验转发一次,所以肯定需要一个总的filter.代码如下:

  1. angular.module('myApp')  
  2.   .config(function($httpProvider) {  
  3.     $httpProvider.responseInterceptors.push('securityInterceptor');  
  4.   })  
  5.   .provider('securityInterceptor'function() {  
  6.     this.$get = function($location, $q) {  
  7.       return function(promise) {  
  8.         return promise.then(nullfunction(response) {  
  9.           if(response.status === 403 || response.status === 401) {  
  10.             $location.path('/unauthorized');  
  11.           }  
  12.           return $q.reject(response);  
  13.         });  
  14.       };  
  15.     };  
  16.   }); 

写到这里就差不多可以实现在这种前后端分离模式下,前端部分的权限管理和控制了,用问题请和我留言.

原文链接:http://my.oschina.net/blogshi/blog/300595

责任编辑:林师授 来源: 顽Shi的博客
Angular权限控制
相关推荐
前后端分离后的权限控制设计​方案
系统为后台管理系统,包含了用户创建、用户登录、用户管理自己的资源。用户经常会新增、删除,也可以根据工作情况随时调整页面、功能权限,所以采用用户角色页面权限方案实现。

2022-05-27 10:40:04

前后端权限控制设计
前、后端分离权限控制设计与实现
近几年随着react、angular、vue等前端框架兴起,前后端分离的架构迅速流行。但同时权限控制也带来了问题。

2020-05-25 16:05:17

前端限控制设分离
《浅谈架构之路:前后端分离模式
对前后端分离研究了一段时间,恰逢公司有一个大项目决定尝试使用前后端分离模式进行,便参与其中。该项目从2016年初立项至今,平平稳稳得度过,但也涌现出越来越多的问题,绝对不是说前后端分离模式不好,而是很多公司在尝试前后端分离的时候没有做好充分得准备。

2017-02-15 10:18:32

架构前后端分离
基于前后端分离的模版探索
在传统的开发模式中,浏览器端与服务器端是由不同的前后端两个团队开发,但是模版却又在这两者中间的模糊地带。因此模版上面总不可避免的越来越多复杂逻辑,最终难以维护。

2014-04-18 14:43:07

前后端分离NodeJS
前后端分离前后端分离的区别
在前后端不分离的应用模式中,前端页面看到的效果都是由后端控制,由后端渲染页面或重定向,也就是后端需要控制前端的展示,前端与后端的耦合度很高。

2019-06-12 19:00:14

前后端分离AppJava
教你在 Centos 配置 Nginx 实现前后端分离
工作中经常会遇到需要部署前后端分离的项目,今天来给大家介绍一下。实现前后端分离配置,即nginx做代理,前端需要跳转到本地目录访问,后端需要跳转到后端程序。

2021-06-16 08:05:14

centos nginx 后端
SpringSecurity结合JWT实现前后端分离后端授权
JWT是JSONWEBTOKEN的缩写,它是基于RFC7519标准定义的一种可以安全传输的JSON对象,因为使用了数字签名,所以可以信任。

2022-04-06 07:50:57

JWT后端Spring
前后端分离的陷阱
前后端团队分离的成本是极高的,对团队的能力要求也是极高的。它并不适合业务不明确,交付优先级经常变动,需要快速交付,且需要不断创新和探索的业务。

2023-02-08 16:29:58

前后端开发
前后端分离架构CSRF防御机制
如果来不及了解CSRF的原理,可以这么理解:有一个人发给你一个搞(mei)笑(nv)图片链接,你打开这个链接之后,便立刻收到了短信:你的银行里的钱已经转移到这个人的帐户了。

2016-09-21 10:11:19

聊聊前后端分离接口规范
本文的主要初衷就是规范约定先行,尽量避免沟通联调产生的不必要的问题,让大家身心愉快地专注于各自擅长的领域。

2021-09-18 09:45:33

前端接口架构
Spring Cloud Gateway集成 Rbac 权限模型实现动态权限控制
本篇文章介绍了网关集成RBAC权限模型进行认证鉴权,核心思想就是将权限信息加载Redis缓存中,在网关层面的鉴权管理器中进行权限的校验,其中还整合了Restful风格的URL。

2022-01-07 07:29:08

Rbac权限模型
谈谈前后端分离及认证选择
本文围绕前后端分离这个话题总结分享了前后端分离时的认证方案。这些仅仅是通用的一般方案,在具体的业务场景中,还有很多不典型的扩展的验证方案也是极好的。

2020-09-25 11:50:12

前后端分离架构Web
前后端分离必备的接口规范
随着互联网的高速发展,前端页面的展示、交互体验越来越灵活、炫丽,响应体验也要求越来越高,后端服务的高并发、高可用、高性能、高扩展等特性的要求也愈加苛刻,从而导致前后端研发各自专注于自己擅长的领域深耕细作。本文的主要初衷就是规范约定先行,尽量避免沟通联调产生的不必要的问题,让大家身心愉快地专注于各自擅长的领域。

2019-07-09 05:44:35

前后端分离架构接口规范
小项目需要前后端分离吗?
今天我们邀请了4名淘系技术的前端以及后端工程师,结合他们自身在项目操作中的感受,给大家分享一些他们对于小项目前后端实际体验的总结,希望能够对你有帮助。

2021-10-20 18:21:18

项目技术开发
Gracejs : 全新的基于koa2的前后端分离框架
Gracejs(又称:koagracev2)是全新的基于koav2.x的MVC+RESTful架构的前后端分离框架。Gracejs完美支持koav2,同时做了优化虚拟host匹配和路由匹配的性能、还完善了部分测试用例等诸多升级。当然,如果你正在使用koagrace也不用担心,我们会把Gracejs中除了支持koa2的性能和功能特性移植到koagrace的相应中间件中。

2016-10-31 14:16:33

node前后端分离koa
也谈基于NodeJS的全栈式开发(基于NodeJS的前后端分离
前言为了解决传统Web开发模式带来的各种问题,我们进行了许多尝试,但由于前后端的物理鸿沟,尝试的方案都大同小异。痛定思痛,今天我们重新思考了“前后端”的定义,引入前端同学都熟悉的NodeJS,试图探索一条全新的前后端分离模式。

2014-04-18 10:04:15

NodeJS前后端分离
我们为什么要尝试前后端分离
这不是一篇纯技术文章,而是一篇分享我个人在前后端分离路上收获的点点滴滴的文章,以此来为准备尝试前后端分离或者想了解前后端分离的童鞋做一个大体的讲解。

2016-08-22 13:31:05

前端架构前后端分离
热点推荐:前后端分离了,然后呢?
前后端分离是一件容易的事情,而且团队可能在短期可以看到很多好处,但是如果不认真处理集成的问题,分离反而可能会带来更长的集成时间。通过面向契约的方式来组织各自的测试,可以带来很多的好处:更快速的End2End测试,更平滑的集成,更安全的分离开发等等。

2015-07-01 15:32:39

前端前后端分离
分层架构,前后端分离有啥坏处?
任何脱离业务发展,业务特点的架构设计都是耍流氓,不是任何公司在任何阶段都适用“前后端分离”分层架构的,今天简单聊聊实施“前后端分离”需要考虑的一些要素,供大家参考。

2017-11-15 07:01:33

互联网分层架构前后端
Exchange2010使用RBAC控制用户权限
在Exchange2010的版本中,基于角色的访问控制(RBAC)将会替代老版本中所使用的权限模型。在这片文章中,笔者将着重给大家介绍一下RBAC的特性以及部署过程中的注意事项。

2010-08-24 09:32:13

Exchange201RBAC用户权限
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服