对前后端分离后的 RBAC 权限体系的疑问

2017-03-13 11:37:14 +08:00
 acrisliu

在前后端分离以前,页面存放在服务端,通过对页面资源的控制。很容易实现 RBAC 的权限控制,此时资源仅对应页面,如 /products/add 对应的是添加产品的页面。

但是前后端分离以后,后端只提供接口,页面全部由前端负责,此时资源便有了两种不同的意义,一个是后端接口的资源,如 /products 一个是前端页面(路由)的资源,如 /products/query ,此时做到同时根据前后端资源去控制权限就显得比较复杂了。

想问下有没有此方面经验的 V 友,交流下前后端分离的情况下权限管理如何做才比较合适?

1528 次点击
所在节点    问与答
5 条回复
chairuosen
2017-03-13 11:54:49 +08:00
接口的权限是本质,严格控制。前端路由的权限只是表面,不能信赖,用前端存的 user 身份判断一下,不给入口就行,再严格一点的就不给路由。
acrisliu
2017-03-13 12:25:29 +08:00
@chairuosen 现在主要是只有一张菜单表,在纠结后端资源和前端资源怎么保存。。
wc951
2017-03-13 15:29:05 +08:00
我觉得你需要一个 api 网关,所有调用后台服务接口都通过网关代理,这样就在网关处鉴权就行了
acrisliu
2017-03-13 15:42:14 +08:00
@wc951 目前后端 API 的权限控制已经搞定了,烦恼的是页面上元素的展现,目前看来只能写死权限在页面上了。。
ihuotui
2017-03-14 08:56:38 +08:00
@acrisliu 先写好菜单,然后根据后台权限展示

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/347029

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX