首頁猿問前端如何控制用戶權(quán)限呢

前端如何控制用戶權(quán)限呢

JavaScript

瀟湘沐 2019-03-16 18:15:38

用的react，我的想法是在后臺(tái)用戶庫里面加上admin:true，然后前臺(tái)先驗(yàn)證登陸用戶是否為admin，如果是就條件渲染出admin要使用的東西，感覺缺陷很大阿，求各位大大給小弟說一下，權(quán)限管理是怎樣設(shè)計(jì)的阿看了大大們的答案我有想法了，在react設(shè)一個(gè)全局變量顯示權(quán)限操作，給后臺(tái)傳數(shù)據(jù)時(shí)，后臺(tái)先驗(yàn)證當(dāng)前操作用戶是否有amdin權(quán)限~

查看完整描述

6 回答

心有法竹

TA貢獻(xiàn)1866條經(jīng)驗(yàn) 獲得超5個(gè)贊

權(quán)限無論什么時(shí)候，都應(yīng)該交給后臺(tái)來控制，前端最多就是按需展示，用戶到底有沒有權(quán)限，應(yīng)該是后臺(tái)進(jìn)行判斷的。永遠(yuǎn)不要相信前端傳的數(shù)據(jù)，前端不是一個(gè)安全的環(huán)境。

反對回復(fù) 2019-04-08

絕地?zé)o雙

TA貢獻(xiàn)1946條經(jīng)驗(yàn) 獲得超4個(gè)贊

先說一下對權(quán)限的看法:

前端要做的是,不讓正常操作的用戶發(fā)出不具有權(quán)限的api. 后端要做的是, 在接到權(quán)限用戶不匹配的請求不做數(shù)據(jù)操作并返回某些格式的數(shù)據(jù)(來使前端判斷并提示).

那么前端關(guān)于權(quán)限的事情只有2件:

第一類別, 隱藏不具權(quán)限的操作按鈕或點(diǎn)擊不具權(quán)限的按鈕后不發(fā)請求直接提示再或者根據(jù)當(dāng)前用戶擁有的權(quán)限來加載數(shù)據(jù).
第二類別, 配合后端對權(quán)限的驗(yàn)證來進(jìn)行登錄過程或每次請求帶上某些驗(yàn)證.

說一種做法:

因?yàn)楦杏X你碰到的問題是第一類別, 在用戶登錄以后儲(chǔ)存一份用戶的權(quán)限數(shù)據(jù)(這份數(shù)據(jù)可以自己判斷也可以向后端請求).類似: {admin: true}. 或者{lookup: true, operate: false}. 或者是具有哪些權(quán)限: ['lookup', 'operate', 'create', 'delete', 'modify']. 然后在涉及到權(quán)限的界面根據(jù)這份數(shù)據(jù)進(jìn)行判斷, 或是發(fā)涉及權(quán)限的請求前對這份數(shù)據(jù)進(jìn)行判斷.

反對回復(fù) 2019-04-08

小怪獸愛吃肉

TA貢獻(xiàn)1852條經(jīng)驗(yàn) 獲得超1個(gè)贊

token 了解一下

反對回復(fù) 2019-04-08

鳳凰求蠱

TA貢獻(xiàn)1825條經(jīng)驗(yàn) 獲得超4個(gè)贊

用token吧，登錄的時(shí)候把當(dāng)前用戶的權(quán)限寫在session里面，然后需要的地方直接判斷做不同操作就行了

反對回復(fù) 2019-04-08

森林海

TA貢獻(xiàn)2011條經(jīng)驗(yàn) 獲得超2個(gè)贊

1.如果是admin的話，前臺(tái)直接判斷控制，允許其擁有所有路由和操作權(quán)限，不需要通過后臺(tái)
2.如果不是admin，需要前臺(tái)和后臺(tái)配合，前臺(tái)擁有一個(gè)權(quán)限分配的頁面（這個(gè)頁面可以是admin操作的），后臺(tái)收集值之后，前臺(tái)其他用戶登錄的時(shí)候，可以獲取其相關(guān)的權(quán)限

反對回復(fù) 2019-04-08