前段时间，撰写过“​​ 单页应用优化–懒加载​​”的问题，这篇我们描述一下单页应用的另外一个问题权限。提起权限，一般会涉及如下几种情况：

• 应用使用权【登录】
• 页面级别权限【菜单访问权限】
• 模块级别权限【区域<组件、按钮>是否显示】
• 数据级别权限【数据权限】

前端的权限控制实质上就是用于展示，让操作变得更加友好，真正的安全实际上是由后端控制的！

下述所有示例，都使用Vue编写，会重点描述页面级别权限和模块级别权限

应用使用权限

这里的使用权限是指用户登录，其实就是简单的判断登录状态而已。通常我们会使用Session进行控制，前端请求携带Cookie（Cookie中保存sessionID），服务端依此进行用户身份识别。然而，使用Session进行管理用户登录状态，在当下后台无状态化盛行的情况下，以及多台节点部署Session同步或者横向扩展（Scale-out，把 session 实现基于中心化的 Redis 服务）等问题（有成熟的解决方法，这里不赘述），已不是最佳方案。

前端后分离的项目中，往往采用​​Restful​​风格进行前后端约束，我们通常会在请求头中携带Authorization/Token来解决用户身份识别。

​

思路：

第一步：点击登录按钮，触发Vuex中的登录事件，成功返回Token，存储Token到sessionStorage/localStorage中（前后端可以约定相应的编码机制）；

// 登录成功
store.commit(types.LOGIN)
/*
 * 1. vuex中存储用户和token信息
 * 2. 同步信息到localStorage中
 * 3. 调整到相关页面
 */

第二步：拦截处理

• 【请求后台API】Axios Request钩子中，添加Authorization头，服务端获取进行校验；如果存在伪造情况，返回401，前端在Axios Response钩子中，进行捕获处理

// Axios Request钩子
 axios.interceptors.request.use(req => {
     req.headers.Authorization = store.state.token
     return req;
 }, error => {
     return Promise.reject(error);
 }）

 // Axios Response钩子
 axios.interceptors.response.use(res => {
    return res;
 }, error => {
    switch(error.response.status) {
        case 401:
            // 触发退出操作 并跳转到登录页面
            store.commit(types.LOGOUT)
            router.replace({path: '/login'})
    }                           
    return Promise.reject(error);
 })

• 【页面跳转】路由beforeEach钩子进行token信息校验（这里只能校验是否存在，具体准确性无法校验）

router.beforeEach((to, from, next) => {
     // 注销 或者 没有用户信息
     if(to.path === '/login' || store.state.[info]) {
         store.commit(types.LOGOUT)
         next({path: '/login'})
     } else {
         next()
     }
 })

页面级别权限

需要​​router.addRoutes​​动态挂载路由。vue2.2.0以后新增了​​router.addRoutes​​，可动态挂载路由，无需在实例化之前就挂载上去的！

• 创建vue实例的时候将vue-router挂载，但这个时候vue-router挂载一些登录或者不用权限的公用的页面；
• 当用户登录后，获取用户权限列表，生成最终用户可访问的路由表；
• 调用router.addRoutes(store.getters.addRouters)添加用户可访问的路由；
• 使用vuex管理路由表，根据vuex中可访问的路由渲染header、侧边栏组件。

// 登录成功，触发
this.updateRouter(data.routes)

// ...
methods: {
  // routes是后台返回来的路由信息 routes里应包含404情况
  async updateRouter (routes) {
    // routers默认
    const routers = [{
        path: '/login',
        name: 'login',
        component: login
    },  {
        path: '/',
        component: App,
        redirect: 'index',
        children: []
    }]
    routes.forEach(r => {
      routers[1].children.push({
        name: r.name,
        path: r.path,
        component: () => routesMap[r.component]
      })
    })
    this.$router.addRoutes(routers)
    this.$router.push('/')
  }
}

这样就实现了根据后端的返回动态扩展路由，当然也可以根据后端的返回生成侧栏或顶栏的导航菜单，这样就不需要再在前端处理页面权限了。需要注意的是，上面有待处理问题：

• 登录成功后默认跳转到’/’，并非后台指定

注意事项：这里有一个需要非常注意的地方就是 ​​404​​​ 页面一定要最后加载，如果放在​​routers​​​一同声明了​​404​​​，后面的所以页面都会被拦截到​​404​​，详细的问题见​​addRoutes when you’ve got a wildcard route for 404s does not work​​

对于后台返回的routes的说明：

方式一：后台完整返回整个路由，这里后台需要返回component的加载信息，然后前端直接addRoutes指定路由下（无权限的路由不会挂载，但后台需要指定component地址，前端强制依赖后台）；

方式二：后台返回相关路由权限标识，前端将完整路由进行标识展示（所有路由会被挂载）

我们采用二者结合方式，使用后台路由标识name（这里需要保证name的唯一性），然后前端根据后台返回的标识对路由进行剔除，动态添加路由。

模块级别权限

某些按钮是否可以点击；某些区域是否可以查看~

组件形式

这里使用render函数，它比template更接近编译器。

// Auth.vue
<script>
  export default {
    name: 'Auth-Comp',
    functional: true,
    // 增加了context来弥补缺少的实例
    render: function(createElement, context) {
        let {props, children, data} = context
        if(props.auth) {
          // return children  
          // 完全透明的传入任何特性、事件监听器、子节点等。
          return createElement('div', data, children)
        } else {
          return null
        }
    }
  }
</script>

// 使用
<Auth-Comp :auth="true"><Hello></Hello></Auth-Comp>

缺点，多添加了一层div，因为不允许存在多个根节点；注意，这里不能使用​​context.slots().default​​，因为如果存在具名slots会展示不全

指令形式

Vue.directive('auth', {
  inserted(el, binding, vnode) {
    let {value} = binding
    if(value && !hasPermission(value)) {
        el.parentNode && el.parentNode.removeChild(el)
    }
  }
})

// 使用
<Hello v-auth="true"></Hello>

一个指令定义对象可以提供几个钩子（均可选）：

• ​​bind​​：指令第一次绑定到元素时调用，只调用一次；
• ​​inserted​​：被绑定元素插入父节点时调用（仅保证父节点存在，但不一定已被插入文档中）；
• ​​update​​：所有组件VNode更新时调用，可能发生在其子VNode更新前，可以比较更新前后的值来忽略不必要的模板更新；
• ​​componentUpdate​​：指令所在组件的VNode**及其子VNode**全部更新后调用；
• ​​unbind​​：只调用一次，指令与元素解绑时调用。

缺点，不能在​​<template>​​标签上使用!

数据级别权限

这通常需要服务端根据用户权限对数据进行控制，来确保是否返回给前端，前端根据返回结果进行展示~~~

补充

公司采用的权限标识为8421，即

关于权限规则，也可以采用Apache Shiro的规则。​​printer:query:lp7200​​ 第一部分是域，第二部分是操作，第三部分是正在执行的实例。

参考地址：​​http://shiro.apache.org/permissions.html​​