纯前端控制
前端写死配置文件,通过用户角色信息判断是否有权限。
例如
const anth = {
'admin': {
//路由权限,如果路由权限为false/undefined则整个页面无权限
// 如果路由权限为true,则拥有全部路由下操作的权限
'/home': true,
'/base/data': true,
},
'developer': {
'/home': {
'getList': true, // 获取列表权限
'search': true, // 搜索权限
'submit': false, // 提交权限
'edit': false, // 编辑权限
....
}
},
'pd': {
}
...
}
上面简单书写了一下前端配置的模板。
上面这段配置表示
一对一直播系统源码的admin用户,拥有/home路由、/base/data路由的访问权限及页面所有操作权限。
developer用户,拥有/home路由,及/home页面下获取列表、搜索,没有提交、编辑权限。
pd用户无任何权限。
优点
纯前端控制,每次修改一对一直播系统源码的前端直接发布就好了。
缺点
被抓包会直接暴露所有权限信息
可以通过代理的方式,强行让用户获得页面的权限
无法针对一对一直播系统源码的单个用户进行权限配置,只能针对用户类型配置权限
前后端分别控制
还是上面内个文件,只不过由后端储存,并且返回的信息只有当前角色的信息
例如我现在的角色为developer那我拿到的信息就是↓
{
'/home': {
'getList': true, // 获取列表权限
'search': true, // 搜索权限
'submit': false, // 提交权限
'edit': false, // 编辑权限
}
}
优点
一对一直播系统源码后端控制权限的返回,用户并不能拿到所有权限点的信息,相对安全
可以动态的给用户添加/修改/删除权限信息(之前纯前端的需要前端发布)
缺点
同样会被代理克制,劫持后返回所有权限,前端同样拦不住(因为前端拿到的是假的权限数据)
每次新增权限点的时候,需要一对一直播系统源码前后端一起发布
权限配置升级版
先确认一下权限是什么,权限就是用户可以进行的每一个操作,都需要校验他能否进行操作。
对应到页面,权限大概分为两个类型,一种是菜单权限(路由/页面访问权限),一种是功能点权限。
菜单权限可以由权限点进行绑定。
页面访问权限由前端来控制,是因为目前大多数前端页面都是SPA(单页面应用),后端不接管页面的访问权限(只有一个index)。
后端可以通过接口返回用户拥有的菜单权限,直接返回给前端,前端覆盖掉router的配置,让用户只能访问他有权限的页面。
操作权限也由另一个接口返回,数据格式如下
{
"home_get_list": 1,
"home_search": 1,
"home_submit": 0,
}
前端配置的时候,提前预埋好权限点,然后对后端返回的权限数据进行判断。例如:
const TestAuth = () => {
const onClick = () => {
//判断提交权限
if(!globalAuth.home_submit){
//没有权限
message.error('没有提交权限');
return;
}
// 提交逻辑
......
}
return <Button onClick={onClick}>提交</Button>
}
当然也可以直接判断没有该权限直接不展示提交按钮
const TestAuth = () => {
const onClick = () => {
// 提交逻辑
}
// 有home_submit权限才渲染提交button
return globalAuth.home_submit && <Button onClick={onClick}>提交</Button>
}
总结
纯前端判断权限肯定是不可取的。前后端一起干才是硬道理。
一对一直播系统源码前端并不能真正的阻拦用户,就像用postman直接发请求一样,不通过前端的方式,直接和后端交互。
所以后端每个接口一定会做权限判断的。
以上就是一对一直播系统源码,后台管理系统权限控制方案, 更多内容欢迎关注之后的文章
标签:管理系统,一对一,前端,用户,源码,home,权限,页面 From: https://www.cnblogs.com/yunbaomengnan/p/17962125