【前端权限】接口权限与接口拦截器

原创 于 2025-12-13 06:00:00 发布 · 664 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #javascript #前端权限 #请求拦截器 #响应拦截器 #前后端协作 #数据安全

🌋 接口权限与接口拦截器

🌟 引言

在现代前端应用中,接口权限控制是保障系统安全的重要环节。老曹在多年的企业项目实践中发现,通过请求拦截器注入权限标识和响应拦截器处理无权访问错误,可以显著提升系统的安全性和用户体验。本节课将围绕接口权限的实现展开,重点讲解如何利用Axios等HTTP库的拦截器功能来管理接口权限。

💡 老曹提示
接口权限不仅关乎数据的安全性,更是前后端协作的关键点。例如,在一个财务系统中,未授权用户尝试访问敏感接口时,应立即返回错误并阻止操作。

🎯 学习目标

  1. 理解接口权限的核心概念及其重要性。
  2. 掌握使用请求拦截器注入权限标识的方法。
  3. 学会通过响应拦截器处理无权访问错误。
  4. 熟悉前后端协作的接口权限设计方案。
  5. 能够独立完成接口权限与拦截器的开发与调试。

📚 一、接口权限概述

🔹 1.1 接口权限的定义与分类

接口权限是指对用户调用后端接口的权限进行限制,确保用户只能访问其权限范围内的接口。根据粒度不同,接口权限可以分为以下几类:

  • 全局权限:所有用户均可访问的公共接口。
  • 角色权限:仅特定角色可访问的接口。
  • Token权限:基于JWT或其他令牌验证的接口权限。
  • IP白名单:仅允许特定IP地址访问的接口。

🔹 1.2 应用场景分析

接口权限广泛应用于各类中后台管理系统,常见场景包括:

  • 敏感操作保护:如“删除用户”、“修改配置”等接口。
  • 数据隔离:如仅允许查看本部门数据的接口。
  • 第三方集成:如OAuth登录接口的权限校验。

🛠️ 二、请求拦截器注入权限标识

🔹 2.1 请求拦截器的设计思路

请求拦截器的核心功能是在每次HTTP请求发送前,动态注入权限标识(如Token或角色信息)。以下是实现步骤:

  1. 获取权限标识:从全局状态(如Vuex、Pinia或Redux)中读取用户的权限信息。
  2. 注入权限标识:将权限标识添加到请求头或请求参数中。
  3. 统一管理:集中处理权限标识的注入逻辑,避免分散在各个接口调用中。
🔸 2.1.1 示例代码解析
// Axios 请求拦截器示例
import axios from 'axios';
import store from '@/store'; // 假设权限信息存储在 Vuex 中

// 创建 Axios 实例
const instance = axios.create({
  baseURL: 'https://api.example.com',
});

// 请求拦截器
instance.interceptors.request.use((config) => {
  const token = store.state.user.token; // 获取用户 Token
  if (token) {
    config.headers.Authorization = `Bearer ${token}`; // 注入 Token
  }
  return config;
}, (error) => {
  return Promise.reject(error);
});
🔸 2.1.2 在组件中使用
// 组件中调用接口
export default {
  methods: {
    async fetchData() {
      try {
        const response = await instance.get('/api/data');
        console.log(response.data);
      } catch (error) {
        console.error('Failed to fetch data:', error);
      }
    },
  },
};

🛠️ 三、响应拦截器处理无权访问错误

🔹 3.1 响应拦截器的设计思路

响应拦截器的核心功能是捕获后端返回的无权访问错误,并进行统一处理。以下是实现步骤:

  1. 捕获错误状态码:识别常见的无权访问状态码(如401403)。
  2. 跳转登录页:对于401错误,通常需要跳转到登录页面重新认证。
  3. 提示用户:对于403错误,显示友好的提示信息。
  4. 日志记录:记录无权访问的接口调用,便于后续审计。
🔸 3.1.1 示例代码解析
// Axios 响应拦截器示例
import router from '@/router'; // 假设使用 Vue Router

// 响应拦截器
instance.interceptors.response.use((response) => {
  return response;
}, (error) => {
  if (error.response) {
    const { status } = error.response;

    if (status === 401) {
      // Token 过期或无效,跳转到登录页
      router.push('/login');
    } else if (status === 403) {
      // 无权访问,提示用户
      alert('您没有权限访问此资源');
    }
  }

  return Promise.reject(error);
});
🔸 3.1.2 在组件中使用
// 组件中调用接口
export default {
  methods: {
    async fetchData() {
      try {
        const response = await instance.get('/api/protected-data');
        console.log(response.data);
      } catch (error) {
        console.error('Error:', error);
      }
    },
  },
};

🧩 四、前后端协作的接口权限设计

🔹 4.1 权限标识的传递方式

前后端协作时,权限标识通常通过以下方式传递:

  • 请求头:如Authorization: Bearer <token>
  • 请求参数:如?token=<token>
  • Cookie:自动携带权限标识。

🔹 4.2 后端接口权限校验

后端在接收到请求后,需对权限标识进行校验。例如:

// Node.js + Express 示例
app.get('/api/protected-data', (req, res) => {
  const token = req.headers.authorization?.split(' ')[1];

  if (!isValidToken(token)) {
    return res.status(401).json({ message: 'Unauthorized' });
  }

  if (!hasPermission(token, 'view_protected_data')) {
    return res.status(403).json({ message: 'Forbidden' });
  }

  // 返回受保护的数据
  res.json({ data: 'Sensitive information' });
});

📝 五、总结与展望

🔹 5.1 本节内容回顾

在本节课中,我们深入探讨了接口权限与拦截器的实现方法,涵盖了以下内容:

  1. 接口权限的核心概念与应用场景。
  2. 使用请求拦截器注入权限标识。
  3. 通过响应拦截器处理无权访问错误。
  4. 前后端协作的接口权限设计方案。

🔹 5.2 下一步学习建议

掌握了接口权限与拦截器后,建议继续学习以下内容:

  • Token刷新机制:支持自动刷新过期的Token。
  • 接口性能优化:减少频繁的权限校验开销。
  • 权限审计与日志:记录接口调用行为,便于追踪问题。

🎯 六、课后练习

  1. 在你的项目中实现一个请求拦截器,动态注入用户Token。
  2. 尝试使用响应拦截器处理401403错误,并测试其效果。
  3. 设计一个后端接口权限校验方案,并实现简单的权限校验逻辑。

🌊希望本节课能帮助你全面掌握接口权限与拦截器的实现方法!老曹期待在下一节课中与大家探讨更高级的权限管理技巧。

7.5 SpringBoot 拦截器Interceptor实战 统一角色权限校验
天罡gg的专栏
07-16 5925
在【7.1】管理员图书录入和修改API,当时预告过:并没有写【校验是否是管理员】的逻辑,因为是通用逻辑,会单写一篇来细讲,那么今天就来安排!角色权限校验,是保证接口安全必备的能力:有权限才可以操作!所以,一般对于这种通用逻辑,推荐不主业务逻辑耦合,那么怎么来解耦?在SpringBoot中过滤器拦截器切面,都可以实现统一角色校验的功能解耦,为了和【3-3】用户身份认证的拦截器方案保持一致,我们采用SpringBoot拦截器Interceptor实战统一角色权限校验!使用AOP的话,你会实现吗?
前端权限-接口权限控制方式
weixin_43875471的博客
03-08 485
前端接口权限控制
前端面试 vue 接口权限控制
Ruiqi8的博客
07-21 469
首先,‌接口权限控制的基本原理是通过配置接口的访问权限和数据权限,‌确保只有经过授权的用户才能访问特定的接口。‌这通常涉及到RESTful API的使用,‌其中接口权限认证机制采用Json Web Token (JWT)。‌JWT是一种开放标准,‌它定义了一种紧凑的、‌自包含的方式,‌用于作为JSON对象在各方之间安全地传输信息)请求拦截器进行拦截,每次请求的时候头部携带。来验证,没有通过的话一般返回。,跳转到登录页面重新进行登录。
自定义拦截器实现权限校验
shenzhou_yh的博客
09-21 1246
背景 前几天接收到一个业务需求,简要描述一下,当某个企业账户冻结之后,企业在登陆后台管理系统,不能进行某些操作,如导入员工信息、发放员工福利、发票信息申请等,但是系统中的查看功能如账单查询、员工查询都可以正常使用。 很显然,从全局去处理账户的状态判断是不可取的,因为在账户冻结之后,并不是所有的动作都是被禁止的,这里就可以使用过滤器对指定的方法进行筛选校验 既定方案 使用自定义的注解,标注需要进行账户状态校验的请求方法,使用拦截器拦截这些接口,在拦截器中执行账户状态的判断,如果账户状态正产则放行,如果状态异常
Vue + Spring Boot 项目实战(六):前端路由登录拦截器
热门推荐
Evan 的博客
04-25 12万+
前端路由的基本原理、使用 history 路由模式时后端登录拦截器的配置、Vuex 的引入以及前端拦截器的实现。
前端权限控制和管理
太阳与星辰的博客
02-10 2808
本文讲述了vue中前端权限控制管理的开发过程。
接口拦截器
汪敏的博客
08-08 923
前端中登录过后,我们进入的页面需要从后端的接口数据来填充给前端。由于后端的访问有设置装饰器,必须登录过后才可以进行访问,所以需要在请求后端接口的时候发送请求时,携带一个token,告知已经登录过了。拦截器是springmvc中的一种对象,实现HandlerInterceptor接口的类都叫拦截器。简单来说,每次发送请求给后端,就把请求拦截下来,放个拦截器,判断。一个项目可以有0个或者多个拦截器,一起拦截用户的请求拦截器常用在:用户登录处理、权限检查、记录日志。拦截用户请求,对请求做预先的判断处理工作。
springboot基于拦截器实现登录权限拦截
IT小跟班
03-26 4387
一、需求 系统中,除登录接口/login以外,其他所有接口,必须用户登录后才能访问。 二、实现 创建一个拦截器,拦截除/login以外的所有请求,校验用户是否已登录,如果已登录,则放行,否则拦截请求,给出未登录信息提示。 创建LoginInterceptor类,实现HandlerInterceptor接口,重写preHandle方法 package com.yclouds.servic...
express 登录鉴权以及接口级别的权限控制
Joey_Tribiani的博客
11-15 1186
按照上述的方式,我们就完成了express搭建的后台应用的登录和接口鉴权操作。
若依 ruoyi-vue HandlerInterceptor 拦截器 文件接口自定义权限
Xiaoweidumpb
01-08 616
文件资源添加自定义权限
精选资源
vue中前端利用refreshToken结合axios拦截器实现token的无感刷新
01-16
1、响应拦截器处理401权限错误。 2、防止重复请求refreshToken接口。 3、同时多个请求返回401,需要刷新token。 阅读建议:此资源以简单的demo演示了RefreshToken使用的全过程,介绍了基本的思路,所以在学习的过程...
OA系统实现前后端接口拦截简介
12-19
权限控制场景中,通过拦截器判断用户是否具有操作某个资源的权限。在数据校验场景中,拦截器可以用来验证用户输入的数据格式,确保数据的有效性。异常监控场景下,拦截器可以用来捕获处理过程中出现的异常,防止...
DevUI组件库实战:从入门到企业级应用的深度探索,如何快速应用各种组件
最新发布
2401_86031952的博客
12-11 845
DevUI是华为开源的企业级Angular前端解决方案,提供丰富的UI组件和工程化工具。其表单布局示例展示了垂直表单的实现,包含用户名、密码等字段的实时验证、异步查重及密码一致性检查功能。通过响应式布局和国际化支持,DevUI简化了企业级应用开发,确保高可定制性和一致性设计。
解决组件不能远程搜索的问题
2402_88002942的博客
12-10 435
有一个组件a-select用于在下拉框中选中某个人物,在表单中提交。它的运作方式是其下拉框最初没有数据,需要用户搜索人名,后段会返回模糊搜索的系列数据。例如,前段搜索张建国,后段会返回“张建国”、“张坚果”等;搜索zjg同理;搜索“ll”,返回“bill”、“killra”等。但问题在于,前段此下拉框没有同步显示后段返回的所有数据,而是会严格显示用户输入字段完全匹配的人名,例如搜索张建国,只显示张建国;搜索zjg则显示不出任何数据。
第十篇:Day28-30 工程化优化部署——从“能跑”到“好用”(对标职场“项目上线”需求)
2402_87628679的博客
12-11 599
gzip on;性能优化:掌握Vite的资源压缩、Tree Shaking、代码分割配置,能实现路由/组件懒加载、虚拟滚动等渲染优化,理解gzip/br压缩的原理和后端配置;兼容性处理:能通过`@vitejs/plugin-legacy`和autoprefixer适配低版本浏览器,理解`browserslist`的作用,知道Vue 3的兼容性限制;多环境配置:能创建多环境变量文件,在项目中使用`import.meta.env`访问环境变量,区分开发/测试/生产环境的配置;项目部署。
第十一篇:Day31-33 前端安全性能监控——从“能用”到“安全可靠”(对标职场“系统稳定性”需求)
2402_87628679的博客
12-11 1024
对于小型项目或特定业务场景,可通过自定义埋点实现核心指标监控,无需接入复杂工具。// src/utils/monitor.js(自定义监控工具) import axios from 'axios';// 监控数据上报接口(后端提供) const MONITOR_UPLOAD_URL = '/api/monitor/upload';
高德API精讲系列——vue+高德API搭建前端Echarts图表页面
weixin_66547608的博客
12-10 90
本文介绍了在Vue项目中使用Echarts 5.x开发地理地形图的核心要点:1. 必须准备省市县级别的geo-json文件(推荐从阿里DataV获取)2. 区分注册地图、散点坐标和主题的API使用方式3. 提供了Vue3最小实现示例和常见问题解决方案4. 包含下钻功能实现思路和批量注册脚本5. 强调map名称一致性、文件分离原则和打包注意事项6. 展示了信阳市人口密度图的完整实现代码和效果展示。
Vue前端知识
sky学linux的博客
12-08 238
Vue前端知识
Vite 前端项目 - CSS变量智能提示
qq_41798568的博客
12-08 629
这是一个基于Vite的现代化前端项目,专注于提供CSS变量智能提示功能。项目集成了完整的CSS变量支持,包括智能补全、详细描述和颜色预览,大幅提升开发效率。通过配置VSCode设置和安装CSS Var Complete插件,开发者可以快速获取变量提示。项目支持多主题切换,提供开箱即用的开发体验,包含详细的配置说明和使用指南,适合需要高效CSS开发的前端项目。
前端请求拦截器里面对接口进行权限控制
12-09
前端请求拦截器中实现接口权限控制的方法主要有以下几种: ### 基于角色的数据权限控制 通过后端接口控制数据权限前端使用请求拦截器统一处理权限验证。示例代码如下: ```javascript axios.interceptors.request.use(config => { const userRoles = store.state.user.roles; if (config.meta && config.meta.requiredRoles) { if (!config.meta.requiredRoles.some(role => userRoles.includes(role))) { throw new Error('无权限访问'); } } return config; }); ``` 此方法会检查请求配置中的 `meta` 字段里的 `requiredRoles`,若用户角色不包含所需角色,则抛出错误阻止请求 [^1]。 ### 基于 JWT 的接口权限控制 采用 JWT 方式进行接口权限控制,未通过验证则返回 401 并跳转到登录页。登录后获取 token 存储起来,在 axios 中配置请求拦截器,使每次请求都携带 token。示例代码如下: ```javascript axios.interceptors.request.use(config => { config.headers['token'] = cookie.get('token'); return config; }); axios.interceptors.response.use(res => {}, ({ response }) => { if (response.data.code === 40099 || response.data.code === 40098) { // token 过期或认证错误 router.push('/login'); } }); ``` 该方法在请求头中添加 token,响应拦截器会根据响应状态码处理 token 过期或认证错误的情况 [^3]。 ### 基于请求路径和请求头的权限控制 在请求拦截器中对请求路径和请求头进行判断,以实现权限控制。示例代码如下: ```java public class MyInterceptor implements HandlerInterceptor { private Logger logger = Logger.getLogger(MyInterceptor.class); @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 请求的路径 String url = request.getServletPath().toString(); logger.info("url:" + url); // 1、静态资源直接放行 html img css js if (request.getServletPath().contains(".")) { return true; } // 2、放行登录请求 if (request.getServletPath().endsWith("login")) { return true; } // 3、下载 pdf 放行 .pdf 下载 if (request.getServletPath().endsWith("download")) { return true; } // 4、如果用户已经登录,从 Header 中获取 Authorization String authorization = request.getHeader("Authorization"); // 5 判断 token 是不是空 if (authorization == null) { return false; } } } ``` 此方法根据请求路径是否为静态资源、登录请求、下载请求进行放行判断,同时检查请求头中的 `Authorization` 是否为空 [^5]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

全栈前端老曹

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值