權限控制分為兩大部分
1、接口訪問的權限控制
2、頁面的權限控制
- 菜單中的頁面是否能被訪問 (頁面級訪問權限)
- 頁面中的按鈕(增、刪、改)的權限控制是否顯示 (數據級操作權限)
權限策略
- 前端記錄所有的權限。用戶登錄后,后端返回用戶角色,前端根據角色自行分配頁面
- 前端僅記錄頁面,后端記錄權限。用戶登陸后,后端返回用戶權限列表,前端根據該列表生成可訪問頁面
接口訪問的權限控制
接口權限就是對用戶的效驗。正常來說,在用戶登陸時服務器需要給前台返回一個token,然后在以后前台每次調用接口時都需要帶上這個token。然后服務端獲取到這個token后進行比對,如果通過則可以訪問。
現有的做法是在登陸成功的回調中將后台返回的token直接存儲到sessionstorage,然后在請求時將token取出放入headers中傳給后台。也可以通過axios在攔截器中直接將token載入config.headers.Authorization中,作為全局傳入。
//main.js
import axios from 'axios'
// 實例化axios,並進行超時設置
const service = axios.create({
timeout: 5000
})
//baseURL
//axios.default.baseURL = 'http://api.github.com'
//http request 攔截器
//每次請求都為http頭添加Authorization字段,其內容為token
service.interceptors.request.use(
config => {
if (store.state.user.token) {
config.headers.Authorization = `token ${store.state.user.token}`;
}
return config
},
err => {
return Promise.reject(err)
}
);
export default service
頁面權限控制
// router/index.js
import Vue from 'vue'
import Router from 'vue-router'
import App from '@/App'
import store from '../store/index'
Vue.use(Router);
//手動跳轉的頁面白名單
const whiteList = [
'/'
];
//默認不需要權限的頁面
const constantRouterMap = [
{
path: '/',
name: '登錄',
component: (resolve) => require(['@/components/login'], resolve)
},
{
path: '/index',
name: 'nav.Home',
component: (resolve) => require(['@/components/index'], resolve)
},
{
path: '/templateMake',
name: '模板制作',
component: (resolve) => require(['@/components/Template/templateMake'], resolve)
},
{
path: '/programMack',
name: '節目制作',
component: (resolve) => require(['@/components/Template/programMack'], resolve)
},
// 當頁面地址和上面任一地址不匹配,則跳轉到404
{
path: '*',
redirect: '/404'
}
]
//注冊路由
export const router = new Router({
routes: constantRouterMap
});
//異步路由(需要權限的頁面)
export const asyncRouterMap = [
{
path: '/resource',
name: 'nav.Resource',
meta: {
permission: []
},
component: (resolve) => require(['@/components/Resource/resource'], resolve)
},
{
path: '/template',
name: 'nav.Template',
meta: {
permission: []
},
component: (resolve) => require(['@/components/Template/template'], resolve)
},
{
path: '/generalSet',
name: 'nav.System',
meta: {
permission: []
},
component: (resolve) => require(['@/components/SystemSet/generalSet'], resolve)
},
{
path: '',
name: 'nav.Log',
component: App,
children: [
{
path: '/userLog',
name: 'nav.UserLog',
meta: {
permission: []
},
component: (resolve) => require(['@/components/Log/userLog'], resolve),
},
{
path: '/operatingLog',
name: 'nav.SystemLog',
meta: {
permission: []
},
component: (resolve) => require(['@/components/Log/operatingLog'], resolve),
},
]
}
]
];
這些權限一般在固定頁面中配置,保存后記錄到數據庫中
獲取用戶權限並存儲 ——> 根據用戶權限選擇性渲染菜單
創建路由表
將不需要訪問權限的部分頁面放到靜態路由constantRoutes中,如登錄、404、維護等頁面。將其它需要權限的頁面放到動態路由asyncRoutes中。這樣可以有效的減輕后續的維護壓力。
注意事項:這里有一個需要非常注意的地方就是 404 頁面一定要最后加載,如果放在constantRoutes一同聲明了404,后面的所以頁面都會被攔截到404,
頁面訪問權限
登錄 ——> 獲取用戶權限並存儲 ——> 根據用戶權限選擇性渲染菜單 ——> 點擊菜單,隨意進入權限內的頁面
獲取用戶權限並存儲
// store/index.js
import Axios from 'axios'
import Vue from 'vue'
import Vuex from 'vuex'
Vue.use(Vuex);
const axios = Axios.create();
const state = {
mode: 'login',
list: []
};
const getters = {};
const mutations = {
setMode: (state, data) => {
state.mode = data
},
setList: (state, data) => {
state.list = data
}
};
const actions = {
// 獲取權限列表
getPermission({commit}) {
return new Promise((resolve, reject) => {
axios({
url: '/privilege/queryPrivilege?id=' + sessionStorage.getItem('privId'),
methods: 'get',
headers: {
token: sessionStorage.getItem('token'),
name: sessionStorage.getItem('name')
}
}).then((res) => {
// 存儲權限列表
commit('setList', res.data.cust.privileges[0].children);
resolve(res.data.cust.privileges[0].children)
}).catch(() => {
reject()
})
})
}
};
export default new Vuex.Store({
state,
mutations,
actions,
getters
})
請求后台拿到權限數據,並將數據存放到vuex中。
根據用戶權限選擇性渲染菜單
利用返回數據匹配之前寫的異步路由表,將匹配結果和靜態路由表結合,合並成最終的實際路由表
router.addRoutes(routes) 動態添加跟多的路由規則。參數必須是一個符合routes選項要求的數組。
// router/index.js
/**
* 根據權限匹配路由
* @param {array} permission 權限列表(菜單列表)
* @param {array} asyncRouter 異步路由對象
*/
function routerMatch(permission, asyncRouter) {
return new Promise((resolve) => {
const routers = [];
// 創建路由
function createRouter(permission) {
// 根據路徑匹配到的router對象添加到routers中即可
permission.forEach((item) => {
if (item.children && item.children.length) {
createRouter(item.children)
}
let path = item.path;
// 循環異步路由,將符合權限列表的路由加入到routers中
asyncRouter.find((s) => {
if (s.path === '') {
s.children.find((y) => {
if (y.path === path) {
y.meta.permission = item.permission;
routers.push(s);
}
})
}
if (s.path === path) {
s.meta.permission = item.permission;
routers.push(s);
}
})
})
}
createRouter(permission)
resolve([routers])
})
}
導航攔截部分,配置導航守衛,刷新重新獲取
// router/index.js
router.beforeEach((to, form, next) => {
if (sessionStorage.getItem('token')) {
if (to.path === '/') {
router.replace('/index')
} else {
console.log(store.state.list.length);
if (store.state.list.length === 0) {
//如果沒有權限列表,將重新向后台請求一次
store.dispatch('getPermission').then(res => {
//調用權限匹配的方法
routerMatch(res, asyncRouterMap).then(res => {
//將匹配出來的權限列表進行addRoutes
router.addRoutes(res[0]);
next(to.path)
})
}).catch(() => {
router.replace('/')
})
} else {
if (to.matched.length) {
next()
} else {
router.replace('/')
}
}
}
} else {
if (whiteList.indexOf(to.path) >= 0) {
next()
} else {
router.replace('/')
}
}
});
數據操作權限
為每個路由頁面增加meta字段,在routerMatch函數中將匹配到的詳細權限字段賦值到這里,這樣在每個頁面的route對象中就會得到這個字段
asyncRouter.find((s) => {
if (s.path === '') {
s.children.find((y) => {
if (y.path === path) {
//賦值
y.meta.permission = item.permission;
routers.push(s);
}
})
}
if (s.path === path) {
s.meta.permission = item.permission;
routers.push(s);
}
})
接下來我們編寫一個vue自定義指令對頁面中需要進行鑒權的元素進行判斷,
<a @click="upload" v-allow="'3'"></a> /* 3代表一個上傳權限的ID,權限中有3則顯示按鈕 */
我們直接注冊一個全局指令,利用vnode來訪問vue的方法。代碼如下:
//main.js
//按扭權限指令
Vue.directive('allow', {
inserted: (el, binding, vnode) => {
let permissionList = vnode.context.$route.meta.permission;
if (!permissionList.includes(binding.value)) {
el.parentNode.removeChild(el)
}
}
})