在传统的前后端不分的开发中,权限管理主要通过过滤器或者拦截器来进行(权限管理框架本身也是通过过滤器来实现功能),如果用户不具备某一个角色或者某一个权限,则无法访问某一个页面。
但是在前后端分离中,页面的跳转通通交给前端去做,后端只提供数据,这种时候,权限管理不能再按照之前的思路来。
首先要明确一点,前端是展示给用户看的,所有的菜单显示或者隐藏目的不是为了实现权限管理,而是为了给用户一个良好的体验,不能依赖前端隐藏控件来实现权限管理,即数据安全不能依靠前端,就像普通的表单提交一样,前端做数据校验是为了提高效率,提高用户体验,后端才是真正的确保数据完整性。(例如前端注册时传来一个邮箱地址,前端已经校验通过,但是后端还需要再校验,因为只有后端的校验才是真正的确保数据是合法的,前端只是为了提高用户体验,给用户快速的响应一下,免得用户把数据传到后端再返回才知道错误)。
所以真正的数据安全是在后端实现的,后端在设计的过程中,就要确保每一个接口都是在满足某种权限的基础上才能访问。也就是说,不怕将后端数据接口暴露出来,即使暴露出来,只要你没有相应的角色,也是访问不了的。
前端为了良好的用户体验,需要将用户不能访问的接口或者菜单隐藏起来。
有人说,如果用户直接在地址栏输入某一个页面的路径,怎么办?此时如果没有过任何额外的处理的话,用户确实可以通过直接输入某一个路径进入到系统的某一个页面中,但是,不用担心数据泄露问题。因为没有相关的角色,就无法访问相关的接口,但是如果用户非这样操作,进入到一个空白的页面,用户体验不好,此时我们可以使用Vue中的路由导航守卫,来监听页面跳转,如果用户想要去一个未获授权的页面,则直接在前置路由导航守卫将之拦截下来,重定向登录页,或者直接就停留在当前页,不让用户跳转。
总而言之一句话,前端的所有操作,都是为了提高用户体验,不是为了数据安全,真正的效验要在后端来做。
后端中的权限管理,每个角色统一一种路径。
在路由表中的index.js文件中添加权限如下:
在Home主页读取数据出来显示的时候,当前登陆的用户如果不具备路由表index.js中所要求的角色,就不显示指定菜单
前言
随着移动互联网的发展,前端开发领域也越来越广,前端早已经告别了切图的时代,迎来了规模化,工程化的大前端时代。近几年随着react、angular、vue等前端框架的兴起,前后端分离的架构迅速流行。但同时权限控制也带来了问题。
前后端分离之后,虽然前端也会进行权限控制、但是都比较简单。而且仅仅前端进行权限控制并不是真正意义的权限控制,用户完全可以绕开前端控制直接向后端发起请求。
权限设计
迄今为止最为普及的权限设计模型是RBAC模型,基于角色的访问控制(Role-Based Access Control)
市面上流行的Apache Shrio、Spring Security,都是基于此模型设计的。权限系统可以说是整个系统中最基础,同时也可以很复杂的,在实际项目中,会遇到多个系统,多个用户类型,多个使用场景,这就需要具体问题具体分析,但最核心的RBAC模型是不变的,我们可以在其基础上进行扩展来满足需求。
下面是简单的用户、角色、操作、机构数据库表设计,基本满足了大多数业务场景。
前端控制
用户登录成功会生成一个Token,其中会附带一些基本的用户信息,不建议附带角色权限信息。用户向后端发送请求都会附带这个Token。
前端一般是菜单和按钮控制,在用户登录认证成功之后,根据用户ID实时获取菜单信息并渲染。按钮控制的话,情况比较复杂,如果要求不是很高可以一次性查询出来,放入本地缓存,进行本地鉴权。
这里撸一个比较简单的实现:
hasRole: function(roles){var roleNames = this.userInfo.roleNames;if(roleNames!=""){var role = roles.split(",");var array = roleNames.split(",");for(var i=0;i<role.length;i++){if(array.indexOf(role[i])>-1){return true;}}}return false;
}
按钮控制:
<i-button type="primary" v-if="hasRole('admin')" icon="ios-cloud-download" @click="exportCashReports">导出</i-button>
后端控制
前端虽然进行了控制,但这远远不够,特殊用户完全可以避开前端控制直接向后端发起请求,这时候如果后端没有对请求进行安全校验,很容易会把敏感数据暴露出去。
在单体架构时代,如果我使用了安全框架,我只需要一个注解,亦或者一个拦截配置就可以搞定。
比如这样:
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean (SecurityManager securityManager) {ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();shiroFilterFactoryBean.setSecurityManager(securityManager);shiroFilterFactoryBean.setLoginUrl("/login.html");shiroFilterFactoryBean.setUnauthorizedUrl("/403");Map<String, Filter> filtersMap = new LinkedHashMap<>();filtersMap.put("kickout", kickoutSessionControlFilter());shiroFilterFactoryBean.setFilters(filtersMap);Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();/*** 静态文件*/filterChainDefinitionMap.put("/css/**","anon");filterChainDefinitionMap.put("/images/**","anon");filterChainDefinitionMap.put("/js/**","anon");filterChainDefinitionMap.put("/file/**","anon");/*** 登录*/filterChainDefinitionMap.put("/login.html","anon");filterChainDefinitionMap.put("/sys/logout","anon");filterChainDefinitionMap.put("/sys/login","anon");/*** 管理后台*/filterChainDefinitionMap.put("/sys/**", "roles[admin]");filterChainDefinitionMap.put("/**", "kickout,authc");shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);return shiroFilterFactoryBean;
}
或者这样:
/*** 角色列表*/@PostMapping("/list")@RequiresRoles(value="admin")public Result list(SysRole role){return sysRoleService.list(role);}
前后端分离之后,后端并不会保存任何用户信息,只能通过前端传输的token进行校验,这里参考Shrio的实现思路,自己撸一个注解来实现权限校验。
/*** 权限注解*/
@Target({ElementType.TYPE, ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface RequiresRoles {/*** A single String role name or multiple comma-delimitted role names required in order for the method* invocation to be allowed.*/String[] value();/*** The logical operation for the permission check in case multiple roles are specified. AND is the default* @since 1.1.0*/Logical logical() default Logical.OR;
}
然后写个拦截器对请求进行拦截,这里截取部分认证代码:
/*** @Description* @Date 2020/6/12*/
@Component
public class AuthUtils {@Autowiredprivate RedisUtils redisUtils;public boolean check(Object handler,String userId){HandlerMethod handlerMethod = (HandlerMethod) handler;Annotation permAnnotation= handlerMethod.getMethod().getAnnotation(RequiresPermissions.class);if(permAnnotation!=null) {String[] role = handlerMethod.getMethod().getAnnotation(RequiresPermissions.class).value();List<String> roleList = Arrays.asList(role);/*** 获取用户实际权限*/List<Object> list = redisUtils.lGet("perms:"+userId,0,-1);List<String> permissions = roleList.stream().filter(item -> list.contains(item)).collect(toList());if (permissions.size() == 0) {return false;}}else{Annotation roleAnnotation= handlerMethod.getMethod().getAnnotation(RequiresRoles.class);if(roleAnnotation!=null){String[] role = handlerMethod.getMethod().getAnnotation(RequiresRoles.class).value();List<String> roleList = Arrays.asList(role);/*** 获取用户实际角色*/List<Object> list = redisUtils.lGet("roles:"+userId,0,-1);List<String> roles = roleList.stream().filter(item -> list.contains(item)).collect(toList());if (roles.size() == 0) {return false;}}}return true;}
}以上,在用户登录成功以后会保存用户的角色信息到缓存,生产环境中可以根据业务需求的实时性,在读取数据库和读取缓存上自行选择。
小结
前后端开发不是什么银弹,微服务也不是,不要盲目的选型跟风,也不要学习什么大厂经验,更不要谈什么技术债,适合自己团队的才是最好的。
当然,项目不高大上一些,出去怎么吹逼,怎么扩展团队规模,怎么升职加薪,所以我前面的都是废话,该分还是得分!!!
