Web前端页面访问权限控制总结

最新推荐文章于 2024-07-23 23:18:19 发布
最新推荐文章于 2024-07-23 23:18:19 发布
阅读量4.3k 收藏 7
点赞数 3
文章标签: 前端 服务器 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25757181/article/details/125936229
版权

使用背景:不同角色访问页面权限控制

说到权限实现方案,个人觉得先看前后端实现架构。

举个例子,项目架构如下:

浏览器 -> web服务器 -> 网关 -> 后台服务

方案1,前端控制页面访问权限,后端不做接口权限控制。 -  绕过前台可直接访问接口,前端权限控制存在的安全隐患。 

方案2,前端不做页面控制,有后端进行权限控制。- 后端进行权限控制,基本上能避免绕过前台接口调用接口的问题,但是能看到不能访问一些菜单,给用户的体验不太好。

方案3,前后台都做页面权限访问控制。- 前后都做权限控制,这个相对比较完美的方案。

最终采用哪一种需要根据项目实际情况而定,这里根据方案3做一下自己项目过程中的分析总结,请大家共勉。

从策略上来说根据是否需要在网关做统一的接口权限控制分情况:

一、网关统一做url鉴权

优点:网关处进行URL鉴权,代码简洁清晰,不需要在每个业务接口总进行权限适配,代码相对比较简单。

缺点:配置比较繁琐,根据角色找到接口url进行配置。假设每个角色分配对应数据接口的权限模型列表如下:

角色页面接口
A页面A接口1
B页面B

接口1

接口2

C页面C接口3

网关实现核心思路:

登录是获取用户权限模板URL列表,定义filter过滤器,获取当前请求url,在权限列表中判断访问接口URL路径是否在用户权限列表中,如果在则URL鉴权通过,否则鉴权失败返回鉴权失败信息。

二、不在网关做统一的URL鉴权,而是在接口中做URL鉴权。

前后台权限点定义模型:

项目列表

页签数据操作
名称字符串名称字符串名称字符串
在途项目service-som:project:underway全国service-som:project:view_all(前端)
service-som:project-info:view(后端)		推进项目service-som:project:promote(前端)
service-som:project-info:cornerstone_manage(后端)
区域service-som:project:view_region(前端)
service-som:project-info:view(后端)		项目暂停service-som:project:pause(前端)
service-som:project-info:suspend(后端)

根据角色进行勾选不同的权限点:

 前后端在获取用户权限列表之后:通过判断用户权限是否包括某个权限点,有该权限点则鉴权通过,否则鉴权失败。

未知原色
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Web权限控制
郭宝的博客
06-12 706
1、背景介绍 在网页的开发中,经常会遇到部分功能只提供给部分用户,比如某网站所提供的功能只提供Vip用户群体,普通用户只能拥有简单的功能,又比如某个管理平台,会根据用户角色的不同而享有不同的权限,比如常用的最高权限admin和普通用户。现实中不可能根据角色的不同而开发不同的页面,那么就需要用一套页面适应不同的用户角色,并根据角色的不同赋予他们不同的权限。 2、权限控制 ...
【Django-vue-admin学习笔记】前端页面按钮权限控制
Mr数据杨
12-01 1161
前端页面权限控制是一种重要的安全措施,它需要与后端的安全策略紧密结合,共同构成一个全面的应用安全体系。安全性: 仅依赖前端权限控制是不够的,因为客户端代码可以被篡改或绕过。后端的权限验证是必不可少的。用户体验: 合理设计权限控制可以提升用户体验,避免无权限的用户看到不应该看到的功能或信息。数据保护: 前端不应加载用户无权访问的数据,即使这些数据在界面上不可见。
基于vue3的权限管理系统脚手架搭建项目实战:前端实现(一)
晓风残月淡的博客
06-03 1539
本项目使用springboot+vue3+typescript的技术栈开发。
详解前端权限控制,从设计到实践!
最新发布
zz_jesse的博客
07-23 205
1.权限控制的方案选择。做后台项目区别于做其它的项目,权限验证与安全性是非常重要的,可以说是一个后台项目一开始就必须考虑和搭建的基础核心功能。在后台管理系统中,实现权限控制可以采用多种方案:权限方案类型描述基于角色的访问控制(Role-Based Access Control,RBAC)是一种广泛采用的权限控制方案。系统中定义了不同的角色,每个角色具有一组权限,而用户被分配到一个或多个角色。通过控...
前端权限-页面访问
weixin_68544809的博客
02-19 555
权限管理下
web用户权限控制
想成为大牛的菜鸟
05-07 1335
功能需求:web项目用户权限问题,不同用户拥有不同权限。用户不能越权访问资源须要验证用户权限。 用户每一次访问都必须验证用户此次请求的URL地址与用户所拥有权限的URL地址是否一致,验证时就须要查询数据库。当数据访问频繁或访问量 比较大时增加了数据库的压力。界面反应较慢,用户体验差。以下为解决方案:     将项目所以URL地址映射为一个int值,此值为权限值。将多个URL地址映射的权限值通
前端权限控制
ruantianqing的博客
01-22 6249
1 前端权限控制思路 1.1菜单的控制 ​ 在登录请求中,会得到权限数据。前端根据权限数据,展示对应的菜单,点击菜单,才能查看相关的界面 1.2界面的控制 ​ 如果用户没有登录,手动在地址栏敲入管理界面的地址,则需要跳转到登录界面 ​ 如果用户已经登录,可是手动敲入非权限内的地址,则需要跳转到404界面 1.3按钮的控制 ​ 在某个菜单的界面中,还得根据权限数据,展示出可进行操作的按钮,比如删除,修改,增加 1.4请求和响应控制 ​ 如果用户通过非常规操作,比如通过浏览器调试工具将某些禁用的按钮变成开启状态
Java WEB 第9章主页面访问权限控制
尚硅谷铁杆粉丝的博客
04-26 521
第9章主页面访问权限控制 9.1 涉及的技术知识点: 过滤器 9.2 过滤器 对于WEB应用来说,过滤器是一个驻留在服务器中的WEB组件,他可以截取客户端和WEB资源之间的请求和响应信息。WEB资源可能包括Servlet、JSP、HTML页面等 当服务器收到特定的请求后,会先将请求交给过滤器,程序员可以在过滤器中对请求信息进行读取修改等操作,然后将请求信息再发送给目标资源。目标资源作出响...
vue路由守卫,限制前端页面访问权限的例子
10-16
关于Vue路由守卫的使用及限制前端页面访问权限的知识点,我们可以从以下几个方面进行深入了解: 1. Vue路由守卫概念理解 Vue路由守卫是Vue Router中的一个功能,允许我们在路由发生变化之前进行一些逻辑处理,从而...
web业务系统权限控制
03-31
web业务系统权限控制
Web应用系统菜单及权限控制
08-22
实现过程: 1、将菜单记录从数据库中查出,放入Set对象中; 2、对菜单记录进行排序; 3、创建一颗多叉树; 4、对树进行先根遍历,将遍历过程中获得的菜单放到集合对象List中。
Vue 实现前端权限控制的示例代码
10-16
- 菜单页面访问权限控制:通过设置Vue Router路由的meta属性来控制是否需要特定权限。可以在路由守卫`router.beforeEach`中进行权限校验,如果用户无权限,则进行相应的处理(比如跳转到无权限页面)。 - 页面内...
html 访问权限控制,单页应用中登录状态保持和页面访问权限控制的解决办法
weixin_28775337的博客
06-09 1183
单页应用与多页应用传统的 web 项目中,多数是多页应用,即每次页面跳转的时候,后台服务器都会给返回一个新的 html和与之相关的 css 和 js 资源,例如熟悉的 JSP ,这种类型的网站也就是多页网站,也叫做多页应用。这种应用最明显的缺点就是页面切换的响应速度慢、静态资源的重复加载等。而单页应用(SPA)在页面跳转的时候,并不需要请求新的 html、css 和 js 等资源,这样就节省了很多...
08-RBAC用户权限控制-页面页面元素控制
NikoChina的博客
05-19 761
权限控制是什么:控制用户对系统资源(URI)的操作。:对页面页面元素的权限控制。> 页面访问权限:哪些页面可以访问、哪些页面元素可见等等。> 操作权限:如页面按钮是否可点击、是否可以增删改查等等:对的权限控制。> 接口与数据权限:接口是否可以调用、接口具体字段范围等等。
页面开启权限控制的方法
run1134968795的博客
08-19 447
在spring security的xml配置文件中,开启控制方法(默认是关闭的) <security:global-method-security jsr250-annotations="enabled"></security:global-method-security> 2.在需要的方法上加入注解: @RolesALLOWED("ADMIN") 注意该注解内容是string[ ],可以加多个权限限定 3.在pom.xml配置文件中导入依赖: &.
Shrio之页面标签权限控制(标签技术实现)
绣花针
12-23 1126
一、页面标签方式权限控制 第一步:在jsp页面中引入shiro的标签库 &lt;%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %&gt; 第二步:使用shiro的标签控制页面元素展示      &lt;shiro:hasPermission name="staff-delete"&gt;     {       ...
前端权限配置
DTCloud
06-13 436
实现前端权限配置的方法有很多种,如:角色的访问控制,资源的访问控制,属性的访问控制等等。角色的访问控制这种方法是将用户分为不同的角色,每个角色拥有不同的权限。具体的步骤是:根据系统的需求,定义不同的用户角色和权限;根据用户的角色和权限,对用户进行访问控制,以确保他们只能访问他们有权访问的资源;在实现前端权限配置时,我们需要根据系统的需求,选择合适的访问控制方法,并按照一定的步骤进行实现。在前端开发中,权限配置是指对用户进行访问控制,以确保他们只能访问他们有权访问的资源。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值