AngularJs实现基于角色的前端访问控制

Github 项目地址 https://github.com/zgljl2012/angular-permission

最近做的项目是使用Angular做一个单页应用,但因为用户有不同的角色(管理员、编辑、普通财务人员等),所以需要进行不同角色的访问控制。

因为后端访问控制的经验比较丰富,所以这里只记录了前端访问控制的实现。请注意,前端最多只能做到显示控制!并不能保证安全,所以后端是一定要做访问控制的!

基于角色的访问控制需要做到两个层面的访问控制:

  1. 控制页面路由的跳转,没有权限的用户不能跳转到指定url
  2. 页面元素的显示控制,没有对应权限的用户不能看到该元素

但在此之前,我们还有一项重要的事要做。

存储用户信息

首先我们要做的,并不是和访问控制有关的事,首先我们要保存好用户信息。包括用户的基本信息,如用户名、真实姓名;以及用户角色。下面是数据结构:

user = {
  username:"",
  realname:"",
  role:""
}

存储的时候就将整个user存储,但存在哪里呢?考虑到必须在任何页面都可以访问到,第一反应是存储到$rootScope中,但我们应该尽量避免使用$rootScope;除此之外,我们可以存储在顶级的controller或者是全局的constant中,这两种解决方案都可以,但它们的问题就是一旦页面刷新,就不管用了($rootScope也一样)。考虑到user这个变量的生命周期应该要与session相同,所以,我使用了SessionStorage。

在创建controller时,需要加入$sessionStorage:

app.controller('controller',['$sessionStorage',  function($sessionStorage){}]);

在登录成功后,将user存储到SessionStorage中:

$sessionStorage.USER = user;

好了,之后通过$sessionStorage就可以获取到用户信息了。

user = $sessionStorage.USER;

控制页面路由的跳转

下面我们开始实现第一点:控制页面路由的跳转。

要做到第一点比较容易,Angular路由改变时会触发$stateChangeStart事件(我用的是stateProvider,所以监听stateChangeStart,如果是用的route或是location,应该监听它们对应的事件),监听此事件,在里面根据访问的url以及用户角色进行权限判断,比如登录的判断就可以在里面做,访问那个url需要登录就直接跳转到登录界面。

首先先写一个auth服务,用于权限认证:

/**
 * 基于角色的访问控制
 */
App.service("auth", ["$http","$sessionStorage", function($http, $sessionStorage){
    var roles = []; // 从后端数据库获取的角色表
    // 从后端获取的角色权限Url映射表,结构为{"role":["/page1", "/page2"……]}
    var urlPermissions = {};
    // 去后端获取
    (function(){
      // 此处为测试方便,直接赋值了,下面也仅以示例为目的,尽量简单了
      roles = ["admin", "user"]
      urlPermissions = {
        // 管理员可以访问所用页面
        "admin":["*"],
        // 普通用户可以访问page路径下的所有界面(登录、注册等页面)以及系统主页
        "user":["page.*", "app.index", "app.detail"]
      }
    })();
    function convertState(state) {
      return state.replace(".", "\\\.").replace("", ".");
    }
    return {
      // 是否有访问某url的权限
      isAccessUrl:function(url) {
        var user = $sessionStorage.USER;
        for(var role in roles) {
          if(user.role.toLowerCase() == roles[role].toLowerCase()) {
            console.log(urlPermissions[roles[role]])
            for(i in urlPermissions[roles[role]]) {
              var regx = eval("/"+convertState(urlPermissions[roles[role]][i])+"/");
              console.log(regx+ " "+ url)
              if(regx.test(url)) {
                return true;
              }
            }
          }
        }
        return false;
      }
    }

}])

roles是角色,从后台获取;urlPermissions是每个角色对应的能被其访问的url列表,也从后台获取,可通过后台配置。这样,每次新增角色,我们就可以动态为其配置访问权限。

最重要的是isAccessUrl方法,传入url后,isAccessUrl首先会通过$sessionStorage获取用户信息,取得用户角色,然后看用户角色是否在角色表中;若在角色表中,就看此角色是否有访问url的权限。我们在后台配置的时候,是直接指定状态,但如果没有通配符的话,那么每一个页面都得写一个url,所以,就增加了通配符 功能,然后将url列表中的每个url转化为正则表达式,再来验证,这样配置就灵活了很多。

最后是在run中监听事件$stateChangeStart :

App.run(["$rootScope",'$state', "auth", "$sessionStorage", function($rootScope, $state, auth, $sessionStorage){
  $rootScope.$on('$stateChangeStart', function(event, toState, toParams, fromState, fromParams) {
    // 路由访问控制
    if(toState.name!="page.login" && !auth.isAccessUrl(toState.name)) {
      // 查看是否需要登录:
      var user = $sessionStorage.USER;
      if(user == null) {
        event.preventDefault();
        $state.go("page.login");
        return;
      }
      event.preventDefault();
      $state.go("page.error");
    }
});
}])

好了,现在就实现了url的访问控制。

页面元素的显示控制

至于第二点,我的解决方案是自定义指令,下面是示例:

<div zg-access="TEST_ACCESS"></div>

注意,这里传入的不是角色,而是权限。因为用户角色是可以动态扩展的,如果这里写的是什么样的角色才可以访问这个元素,那以后每新增一个角色都将是一个很大很大的麻烦,因为你得一个个来修改代码。下面是自定义指令zg-access的代码:


/**
 * 元素级别的访问控制指令
 */

App.directive("zgAccess", function($sessionStorage, $http){
  var roles = []; // 角色
  var elemPermissions = {}; // 角色元素权限映射表,如{ "role":{"SEARCH"}},role有这个搜索权限

  // 后台获取
  (function(){
    // 简便起见,这里直接生成
    roles = ["admin", "user", "visitor"];
    elemPermission = {
      "admin":["*"],
      "user":["SEARCH"],
      "visitor":[]
    }
  })();
  console.log("zg-access");
  return {
    restrict: 'A',
    compile: function(element, attr) {
        // 初始为不可见状态none,还有 禁用disbaled和可用ok,共三种状态
        var level = "none";
        console.log(attr)
        if(attr && attr["zgAccessLevel"]) {
          level = attr["zgAccessLevel"];
        }
        switch(level) {
          case "none": element.hide(); break;
          case "disabled":
            element.attr("disabled", "");
            break;
        }
        // 获取元素权限
        var access = attr["zgAccess"];
        // 将此权限上传到后端的数据库
        (function(){
         //upload
        })();
        return function(scope, element) {
          // 判断用户有无权限
          var user = $sessionStorage.USER;
          if(user==null||angular.equals({}, user)) {
            user = {};
            user.role = "visitor";
          }
          var role = user.role.toLowerCase();
          console.log(roles);
          for(var i in roles) {
            var tmp = roles[i].toLowerCase();
            if(role == tmp) {
              tmp = elemPermission[role];
              console.log(tmp)
              for(var j in tmp){
                console.log(tmp[j]+" "+access);
                if(access.toLowerCase() == tmp[j].toLowerCase()) {
                  element.removeAttr("disabled");
                  element.show();
                }
              }
            }
          }
        };
      }
  }
})

zgAccessLevel是一个属性,用来控制级别,如果是none(默认为none),就不显示元素;如果是disbaled,就是元素不可用(如Button不可用)。

下面是元素示例:

<button ng-click="" zg-access="SEARCH" zg-access-level="disabled">Search</button>

此时,若以admin角色或者user角色登录,Search按钮将不可用。

转载请注明原文地址 http://www.zgljl2012.com/2016/08/16/angularjsshi-xian-ji-yu-jiao-se-de-qian-duan-fang-wen-kong-zhi/

Github 项目地址

时间: 2025-01-01 07:25:09

AngularJs实现基于角色的前端访问控制的相关文章

AngularJs 实现基于角色的前端访问控制

最近做的项目是使用Angular做一个单页应用,但因为用户有不同的角色(管理员.编辑.普通财务人员等),所以需要进行不同角色的访问控制. 因为后端访问控制的经验比较丰富,所以这里只记录了前端访问控制的实现.请注意, 前端最多只能做到显示控制!并不能保证安全,所以后端是一定要做访问控制的! 基于角色的访问控制需要做到两个层面的访问控制: 控制页面路由的跳转,没有权限的用户不能跳转到指定url 页面元素的显示控制,没有对应权限的用户不能看到该元素 但在此之前,我们还有一项重要的事要做. 存储用户信息

AngularJs基于角色的前端访问控制的实现_AngularJS

最近做的项目是使用Angular做一个单页应用,但因为用户有不同的角色(管理员.编辑.普通财务人员等),所以需要进行不同角色的访问控制. 因为后端访问控制的经验比较丰富,所以这里只记录了前端访问控制的实现.请注意,前端最多只能做到显示控制!并不能保证安全,所以后端是一定要做访问控制的! 基于角色的访问控制需要做到两个层面的访问控制: 控制页面路由的跳转,没有权限的用户不能跳转到指定url 页面元素的显示控制,没有对应权限的用户不能看到该元素 但在此之前,我们还有一项重要的事要做. 存储用户信息

AngularJS – 实现基于角色访问控制的 GUI

这些天我们忙于应用的前端工作,我们主要使用angular完成的.最近的一个需求是基于角色访问GUI.一个用户可以有多个角色,而它应只能访问授权给他的那一部分GUI. 我们主要通过在2个层次限制应用的GUI访问,来解决上述需求: 1.一个用户只能访问授权给他的页面(或者说流量) 2.在一个页面上,用户只能看到授权给他的那部分. 要解决上述需求1,我们捕捉路有变化事件并对每一路由变化进行检查,看用户是否授权访问下一路由,保证他不会看到拒绝访问的页面 $rootScope.$on("$routeCha

AIX中基于角色的访问控制,第1部分

简介:在本系列文章中,我们将向您陆续介绍并和您一起讨论基于角色的访问控制(Role Based Access Control)的相关内容.作为 AIX 6 的安全新特性,RBAC 为用户提供了细颗粒度的,更加灵活的 安全管理方法.本文是摘自 IBM 红皮书<AIX V6 Advanced Security Features Introduction and Configuration>. AIX V6 和基于角色的访问控制 (RBAC) AIX V6 引入了增强 RBAC,即向一个或者多个普通

基于角色访问控制的权限系统设计

1. 基于角色的权限设计 这种方案是最常见也是比较简单的方案,不过通常有这种设计已经够了,所以微软就设计出这种方案的通用做法,这种方案对于每一个操作不做控制,只是在程序中根据角色对是否具有操作的权限进行控制:这里我们就不做详述 2. 基于操作的权限设计 这种模式下每一个操作都在数据库中有记录,用户是否拥有该操作的权限也在数据库中有记录,结构如下: 但是如果直接使用上面的设计,会导致数据库中的UserAction这张表数据量非常大,所以我们需要进一步设计提高效率,请看方案3 3. 基于角色和操作的

.NET框架中基于角色的安全性(1)

.net框架|安全|安全性 在过去的相当长一段时间内,计算机及信息犯罪的比例正在逐渐升高.美国联邦调查局的计算机安全组织在2001年的研究调查中发现85%企业的企业安全受到侵害.在对这些企业进行调查之后提出的财物损失报告中指出,合计损失为3亿7千7百万美元,比起2000年的2亿6千5百万美金增加了42%.由此可清楚的看出,计算机及信息犯罪的发生次数越来越频繁,其所造成的损失也越来越大,另外,犯罪的手段也越来越丰富,令企业安全人员防不胜防.因此企业必须有所行动来保护有价值的信息资产.自然而然的,安

goRBAC —— Go 语言基于角色的权限控制框架

goRBAC 为 Go 语言应用提供了轻量级的基于角色的访问控制. 该包适用于: * 实体具有一个或多个角色 * 角色需要分配权限 * 权限需要分配给角色 因此,RBAC 具有以下模型: * 在实体和角色之间具有多对多关系 * 在角色和权限之间具有多对多关系 * 角色可以具有父角色(权限继承) 示例代码: import github.com/mikespook/gorbac rbac := gorbac.New() rbac := gorbac.NewWithFactory(YourOwnFac

ASP.NET基于角色的窗体安全认证机制

asp.net|安全 说明:两个月前我刚学 ASP.NET, 在 codeproject.com 看到题目叫 Role-based Security with Forms Authentication 的文章,觉得很有帮助.当时就想翻译成中文.不过直接翻译实在没意思,这两天我参照 Heath Stewart的这篇文章,并且根据自己的理解,把它按照自己的想法和表达方式写成中文.附带上自己为这篇文章做的一个演示的web应用程序. 如果有理解错误的地方,欢迎来信指出或发表评论. 概要: ASP.NET

asp.net中使用基于角色的身份Forms验证,大致分为四个步骤

asp.net asp.net中使用基于角色的身份Forms验证,大致分为四个步骤1.配置系统文件web.config<system.web> <authentication mode="Forms" >  <forms name=".yaoCookies" loginUrl="/duan/Manage/login.aspx" protection="All"  timeout="20&