egg-后端权限控制(限制接口访问)

最新推荐文章于 2024-04-26 22:27:42 发布
最新推荐文章于 2024-04-26 22:27:42 发布
阅读量1k 收藏
点赞数
分类专栏: 通用后端管理注册系统 egg 文章标签: javascript typescript 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lihui61357457/article/details/127072081
版权

一.为什么后端要进行访问权限控制?

比如我们已经在前端使用Vue-router通过sessionStorage的token权限控制,防止
用户只有在登录的情况下才能访问某一个路由,但是我们的源代码是可以被查看的,
如果被别人修改token那便可以访问限制的网页,是及其不安全的。所以我们真正的权
限控制应该在后端进行。

二.如何进行后端权限控制

使用egg-中心间

下面进行获得全部用户的信息的权限限制
用户获取接口为:/users
1.中间件的配置
config/config.default.ts

  // add your egg config in here
  config.middleware = [ 'auth' ];
  config.auth = {
    authUrls: [
      '/users',//我们需要限制的用户信息获取接口
    ],
  };

2.创建中心间
在app目录下创建middleware/auth.ts

// eslint-disable-next-line @typescript-eslint/no-var-requires
const jwt = require('jsonwebtoken');
module.exports = (options, app) => {
  return async function(ctx, next) {
    // 1.获取需要权限控制的路由地址
    const authUrls = options.authUrls;
    // 2.判断当前请求的路由地址是否需要权限控制
    if (authUrls.includes(ctx.url)) {
      // 需要权限控制
      // 3.获取客户端传递过来的JWT令牌
      const token = ctx.get('authorization');
      // 4.判断客户端有没有传递JWT令牌
      if (token) {
        try {
          await jwt.verify(token, app.config.keys);
          await next();
        } catch (e) {
          ctx.error(400, '没有权限');
        }
      } else {
        ctx.error(400, '没有权限');
      }
    } else {
      // 不需要权限控制
      next();
    }
  };
};
YY小怪兽
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【项目实践】后台管理系统前后端实践一:权限控制原理
发果叁
03-08 1762
整理了一套《前端大厂面试宝典》,包含了HTML、CSS、JavaScript、HTTP、TCP协议、浏览器、VUE、React、数据结构和算法,一共201道面试题,并对每个问题作出了回答和解析。有需要的小伙伴,可以点击文末卡片领取这份文档,无偿分享部分文档展示:文章篇幅有限,后面的内容就不一一展示了有需要的小伙伴,可以点下方卡片免费领取。
egg.js目录结构,路由,约定规范
weixin_43506403的博客
12-11 459
egg 是一个MVC的框架 model 模型 和数据打交道。 查询数据库,请求数据 放到service 中。新建service 目录 view 视图 模板 页面的展示 Controller 控制器 负责处理一些业务逻辑 在Controller 的 home.js 中主要是 渲染模板 'use strict'; const Controller = require('egg').Controller; class HomeController extends Controller { .
egg 访问静态html页面文件(搭建一个类似tomcat的服务器环境)
树上骑个猴的博客
03-22 852
静态资源存放路径: 静态资源文件内容: 访问该静态文件: 前端就可以自己搭建一个网页容器来存放html资源,类似于tomcat的效果。
4-用户权限控制后端
最新发布
qq_53568730的博客
04-26 383
在计算机系统中,用户权限控制是一种机制,用于限制用户对系统资源的访问和操作。它可以确保只有经过授权的用户可以执行特定的操作,并限制未经授权的用户的访问权限。Controller接收请求,然后调用对应的service接口,再具体实现类中实现(Result是一个封装类,在我的文章“2-token生成”有代码)此处只有不同用户返回不同的菜单,通过用户名判断(admin为超级管理员 其他为普通管理员)
invalid csrf token. See https://eggjs.org/zh-cn/core/security.html#安全威胁csrf的防范
树上骑个猴的博客
12-30 1626
原因: egg 框架内置了安全系统,默认开启防止 XSS 攻击 和 CSRF 攻击。 在Security的默认拦截器里,默认会开启CSRF处理,判断请求是否携带了token,如果没有就拒绝访问。并且,在请求为(GET|HEAD|TRACE|OPTIONS)时,则不会开启 解决方案: 在config.default.js中添加如下红框配置: config.security = { csrf: { enable: false, }, }; ...
控制后台用户的权限
joomer的专栏
11-26 471
我们有时想控制用户在后台的使用权限,有一种情况是做好网站后,给用户管理员权限,但是用户对Joomla不熟,等到他把里面的模块组件,删除又安装什么的,那才叫抓狂。你不给客户管理员权限,估计客户会不满意,但是Joomla的用户权限管理不好,怎么办?    如果有一种方法,当客户以admin进入后台,可是很多功以都不可以用,比如安装删除组件、模块等等,只能更新文章,当自己想进去维护网站(比如:安装模块)
RBAC 权限管理系统后端-egg-rbac-server.zip
01-30
《基于Egg.js的RBAC权限管理系统的后端实现详解》 在现代Web应用程序开发中,权限管理和控制是至关重要的安全机制。Role-Based Access Control(RBAC)模型因其灵活性和可扩展性,被广泛应用于各类系统中。本项目...
eggJS框架、nodeJS、rbac权限、restfulAPI-edward-egg-gateway.zip
01-30
在项目中,RBAC能够帮助开发者实现精细的权限控制,确保只有具备相应权限的用户才能访问特定资源,从而增强系统的安全性。 最后,RESTful API是当前Web服务设计的主流标准。它强调资源的概念,通过HTTP方法(如GET...
管理系统系列--egg-cms是一个中后台管理系统,后端主要由node(egg.js),MySQL,JWT,Sequ.zip
02-25
3. API接口设计:egg.js提供了一套完整的RESTful API设计规范,使得前后端分离更加顺畅。 4. 中间件机制:egg.js支持自定义中间件,可以实现日志记录、权限校验等功能。 5. 模板引擎:可能使用了egg.js内置或第三方...
egg:一个Eggjs后端项目
03-30
Egg.js 是阿里云开发的一款基于 Node.js 的企业级框架,旨在简化后端开发流程,提供可扩展、易维护的解决方案。它基于 Koa.js,集成了诸如中间件系统、插件机制、配置管理、日志处理等特性,使得开发者能够更专注于...
Python库 | grafcli-0.5.2-py3.6.egg
02-21
在使用`grafcli`之前,确保已经安装了Grafana服务并且配置了正确的API访问权限。`grafcli`库通过Grafana的REST API与服务器通信,因此需要了解如何设置和使用这些API。此外,熟悉Grafana的数据模型,如仪表板结构、...
java spring AOP权限控制
01-15
传统的应用程序实现 J2EE容器实现 AOP下的应用程序权限控制实现
由后台的值来决定前台的复选框是否为默认选中,简单用户权限管理,html:multibox...
黑色头发
08-13 376
例子下载,下载解压后自行导入struts包 程序入口为 http://localhost:8080/ShowPermission.do 下面贴代码 ShowPermission.jsp <%@ page contentType="text/html; charset=gbk"%> <%@ taglib uri="http://jakarta.apache.org/struts/...
egg 异常处理和中间件
bigb的博客
12-11 1077
egg 异常处理和中间件 一、错误和异常处理 // app/middleware/error_handler.js module.exports = (option, app) => { return async function errorHandler(ctx, next) { try { await next(); } catch (err) { // 所有的异常都在 app 上触发一个 error 事件,框架会记录一条错误日志
后端分离 Vue + Egg.js + Mysql 的 JS全栈实践。动态菜单,RBAC权限模型,WebSocket实现站内信。已部署到线上!!!
Im_fdj的博客
09-13 1300
Beehive 前言 Beehive 是一个项目管理系统。参考于Teambetion、PearProject,实现部分功能。 这是一个Vue+Node.js的js全栈项目。基于RBAC模型做权限控制,动态配置菜单,前端实现页面元素级别的权限控制。通过WebSocket实现站内信功能,任务看板中,实现更新同步推送。一旦其他项目成员有对我们当前查看的项目任务做任何的操作,页面都将立即同步更新,并向此任务的所有参与者(除了操作者)发送消息通知。注册和找回密码需要通过邮箱验证码验证,可以通过github授权登陆(不
关于前后端项目中的受限资源访问
码中鲸鱼????的博客
04-22 612
关于前后端分离项目的受限资源访问 题解: 例如当我们写一个关于商城的前后端项目时,我们需要设置当用户登录才能访问购物车,订单等个人网页,那么我们如何去设置这些受限资源的访问了? 如图: 我们只需在用户登录的时候返回一个token值,再拿着token值去验证。这样我们就实现了前后端项目的受限资源访问。 这时候我们可以使用Base64Utils 或者 jwt 但是由于Base64Utils 的安全性太低且生成的token并没有时限性。 如: 这样我们的token的安全性就会大大下降,随便一个会一些代码的都可
egg商城--权限管理篇
weixin_33885676的博客
02-14 2329
rbac权限控制 说明 rbac主要是用来存放权限的,全称叫做基于角色权限控制 思路 权限表中存在着url, 根据当前用户查找对应的角色 根据角色权限表,查找出权限表中的url字段 判断当前url是否与权限表中的多个url中的一个相等, 相等证明有权限仿问 数据表 角色表role 用户表user 权限表permission 角色权限表rolePermission 表与表之间的联系 角色下...
后端修改数据库_前、后端分离权限控制设计和实现思路
weixin_39713814的博客
11-22 1029
作者:薛定谔的猫www.yuque.com/zhanghaofei/blog/xrpz9p简述近几年随着react、angular、vue等前端框架兴起,前后端分离的架构迅速流行。但同时权限控制也带来了问题。网上很多前、后端分离权限仅仅都仅仅在描述前端权限控制、且是较简单、固定的角色场景,满足不了我们用户、角色都是动态的场景。且仅仅前端进行权限控制并不是真正意义的权限控制,它只是减少页面...
egg-socket-io
12-03
egg-socket-io是基于egg.js框架的一个用于实时通信和消息推送的插件。它基于socket.io实现了websocket协议,可以在客户端与服务器之间建立实时、双向的通信连接。egg-socket-io的使用让开发者能够能够更加方便地构建实时应用程序,比如即时聊天、实时监控、多人协作编辑等。 通过egg-socket-io,开发者可以在egg.js应用中轻松集成实时通信功能。它提供了丰富的API和灵活的配置选项,支持自定义事件、广播消息、包房、中间件等功能。在实现实时通信功能的同时,egg-socket-io也提供了完善的文档和示例,让开发者能够快速上手并且灵活应用。 egg-socket-io的优点包括稳定性高、可扩展性好、易用性强。通过它,开发者可以实现基于websocket的长连接,无需频繁地发起HTTP请求,大大减少了服务器的负担。同时,egg-socket-io也支持多房间、多命名空间等功能,能够满足复杂实时应用的需求。 总的来说,egg-socket-io是一个强大且易用的实时通信插件,它能够让开发者轻松构建实时应用程序,并且保证通信的稳定性和效率。无论是小型的聊天应用,还是大型的实时监控系统,egg-socket-io都能够提供灵活可靠的解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值