本文强调了后端进行权限控制的重要性,指出前端仅负责用户体验优化,不应作为安全控制的唯一手段。介绍了两种动态菜单实现方式:1) 后端动态返回用户权限对应的菜单数据,前端根据数据渲染;2) 前端根据角色动态渲染,但不适用于权限复杂的项目。重点在于理解权限管理的核心在于后端,并提供了与前端协作的思考框架。
1. 一个原则
做权限管理,一个核心思想就是后端做权限控制,前端做的所有工作都只是为了提高用户体验,我们不能依靠前端展示或者隐藏一个按钮来实现权限控制,这样肯定是不安全的。
就像用户注册时需要输入邮箱地址,前端校验之后,后端还是要校验,两个校验目的不同,前端校验是为了提高响应速度,优化用户体验,后端校验则是为了确保数据完整性。权限管理也是如此,前端按钮的展示/隐藏都只是为了提高用户体验,真正的权限管理需要后端来实现。
这是非常重要的一点,做前后端分离开发中的权限管理,我们首先要建立上面这样的思考框架,然后在这样的框架下,去考虑其他问题。
因此,下文我会和大家分享两种方式实现动态菜单,这两种方式仅仅只是探讨如何更好的给用户展示菜单,而不是探讨权限管理,因为权限管理是在后端完成的,也必须在后端完成。
2、实现方式
2.1 后端动态返回
用户登录成功之后,可以查询到用户的角色,再根据用户角色去查询出来用户可以操作的菜单(资源),然后把这些可以操作的资源,组织成一个 JSON 数据,返回给前端,前端再根据这个 JSON 渲染出相应的菜单。
至于menu表需要保存哪些字段、返回给前端的JSON数据格式怎么组织,还要配合前端同学一起协商。
这种方式的一个好处是前端的判断逻辑少一些,后端也不算复杂,就是一个 SQL 操作,前端拿到后端的返回的菜单数据,稍微处理一下就可以直接使用了。另外这种方式还有一个优势就是可以动态配置资源-角色以及用户-角色之间的关系,进而调整用户可以操作的资源(菜单)。
2.2 前端动态渲染
后端只需要在登录成功后返回当前用户的角色就可以了,剩下的事情则交给前端来做。前端根据角色去动态渲染菜单。不过这种方式有一个弊端就是菜单和角色的关系在前端代码中写死了,以后如果想要动态调整会有一些不方便,可能需要改代码。特别是大项目,权限比较复杂的时候,调整就更麻烦了,所以这种方式一般建议在一些简单的项目中使用。
本人不太擅长前端,具体实现方式就不展示了,有兴趣可以网上搜一下。
2000
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
