1、权限管理是什么
权限是对特定资源的访问许可,所谓权限控制,也就是确保用户只能访问到被分配的资源。而前端权限归根结底是请求的发起权,请求的发起可能有下面两种形式触发:a、页面加载触发; b、页面上的按钮点击触发。
对触发权限的源头进行控制:
1)路由方面,用户登录后只能看到自己有权访问的导航菜单,也只能访问自己有权访问的路由地址,否则将跳转4xx 提示页。
2)视图方面,用户只能看到自己有权浏览的内容和有权操作的控件。
2、如何进行权限控制
前端权限控制可以分为四个方面:
1)接口权限
接口权限目前一般采用jwt的形式来验证,没有通过的话一般返回401,跳转到登录页面重新进行登录。登录完拿到token,将token存起来,通过axios请求拦截器进行拦截,每次请求的时候头部携带token。
2)路由权限
方案一:
初始化即挂载全部路由,并且在路由上标记相应的权限信息,每次路由跳转前做校验。
缺点:a、加载所有的路由,如果路由很多,而用户并不是所有的路由都有权限访问,对性能会有影响;
b、全局路由守卫里,每次路由跳转都要做权限判断。
c、菜单信息写死在前端,要改个显示文字或权限信息,需要重新编译;
d、菜单跟路由耦合在一起,定义路由的时候还有添加菜单显示标题,图标之类的信息,而且路由不一定作为菜单显示,还要多加字段进行标识
方案二:
初始化的时候先挂载不需要权限控制的路由,比如登录页,404等错误页。如果用户通过URL进行强制访问,则会直接进入404,相当于从源头上做了控制。
登录后,获取用户的权限信息,然后筛选有权限访问的路由,在全局路由守卫里进行调用addRoutes添加路由。
按需挂载,路由就需要知道用户的路由权限,也就是在用户登录进来的时候就要知道当前用户拥有哪些路由权限。
3)菜单权限
每次路由跳转的时候都要判断权限,这里的判断也很简单,因为菜单的name与路由的name是一一对应的,而后端返回的菜单就已经是经过权限过滤的,如果根据路由name找不到对应的菜单,就表示用户有没权限访问;如果路由很多,可以在应用初始化的时候,只挂载不需要权限控制的路由。取得后端返回的菜单后,根据菜单与路由的对应关系,筛选出可访问的路由,通过addRoutes动态挂载。
4)按钮权限
通过自定义指令进行按钮权限的判断
