AngularJS – 实现基于角色访问控制的 GUI

这些天我们忙于应用的前端工作，我们主要使用angular完成的。最近的一个需求是基于角色访问GUI。一个用户可以有多个角色，而它应只能访问授权给他的那一部分GUI。

10多年的宁远网站建设经验，针对设计、前端、开发、售后、文案、推广等六对一服务，响应快，48小时及时工作处理。营销型网站建设的优势是能够根据用户设备显示端的尺寸不同，自动调整宁远建站的显示方式，使网站能够适用不同显示终端，在浏览器中调整网站的宽度，无论在任何一种浏览器上浏览网站，都能展现优雅布局与设计，从而大程度地提升浏览体验。创新互联从事“宁远网站设计”,“宁远网站推广”以来，每个客户项目都认真落实执行。

我们主要通过在2个层次限制应用的GUI访问，来解决上述需求:

一个用户只能访问授权给他的页面（或者说流量）
在一个页面上，用户只能看到授权给他的那部分。

要解决上述需求1，我们捕捉路有变化事件并对每一路由变化进行检查，看用户是否授权访问下一路由，保证他不会看到拒绝访问的页面

 
   
  $rootScope.$on("$routeChangeStart", function(event, next, current) {    
      if(!authService.isUrlAccessibleForUser(next.originalPath))    
      $location.path('/authError');    
  });

上面的authService 是我们创建的一个服务，它有角色用户列表，并给授权用户路由流量。函数isUrlAccessibleForUser() 将检查分配的用户是否可以访问给定流量并返回true或false.

服务将从后台和路由访问信息中获取一个用户的角色列表，每个角色将保存在服务本身的一个Map集合中。（关于用户和角色的一些细节可以存到数据局，通过后台的方式获取）

 
   
  app.factory('authService', function ($http) {    
       
      var userRole = []; // obtained from backend    
      var userRoleRouteMap = {    
          'ROLE_ADMIN': [ '/dashboard', '/about-us', '/authError' ],    
          'ROLE_USER': [ '/usersettings', '/usersettings/personal', '/authError']    
      };    
       
      return {    
       
          userHasRole: function (role) {    
              for (var j = 0; j < userRole.length; j++) {    
                  if (role == userRole[j]) {    
                      return true;    
                  }    
              }    
              return false;    
          },    
       
          isUrlAccessibleForUser: function (route) {    
              for (var i = 0; i < userRole.length; i++) {    
                  var role = userRole[i];    
                  var validUrlsForRole = userRoleRouteMap[role];    
                  if (validUrlsForRole) {    
                      for (var j = 0; j < validUrlsForRole.length; j++) {    
                          if (validUrlsForRole[j] == route)    
                              return true;    
                      }    
                  }    
              }    
              return false;    
          }    
      };    
  });

这将解决上述需求的第一点，对于需求的第二点我们来创建一条指令。这个指令信息类似以下：

 
   
  ......

如果用户有 ROLE_ADMIN的这个角色的时候，将以上的html标签将被加载到html的页面中，否则将这个 Html标签从页面中移除。

指令的实现代码如下:

 
   
  .directive('myAccess', ['authService', 'removeElement', function (authService, removeElement) {    
      return{    
          restrict: 'A',    
          link: function (scope, element, attributes) {    
       
              var hasAccess = false;    
              var allowedAccess = attributes.myAccess.split(" ");    
              for (i = 0; i < allowedAccess.length; i++) {    
                  if (authService.userHasRole(allowedAccess[i])) {    
                      hasAccess = true;    
                      break;    
                  }    
              }    
       
              if (!hasAccess) {    
                  angular.forEach(element.children(), function (child) {    
                      removeElement(child);    
                  });    
                  removeElement(element);    
              }    
       
          }    
      }    
  }]).constant('removeElement', function(element){    
      element && element.remove && element.remove();    
  });

这一办法是很简洁的，而我们在GUI上很巧妙的实现了用户授权. 一个潜在的问题是，如果UI的渲染器在你从后台获取用户角色之前就已经在运行了，那么该HTML中所有带上该指令的部分都会从html中被移除掉. 这对于我们而言不是个麻烦，因为我们会在登录完成之时就获取到了用户角色的详细信息。而如果这一问题对你而言是个问题的话，解决方案可以是这样：如果用户角色还没有获取到，就只是隐藏这些html元素，仅等到你获取到角色列表之后再按照授权0信息将它们移除掉. 同时还请注意不能因为有了一个GUI的访问控制，就省掉了后台固有的安全实现.

达者广交，分享为先!

英文：AngularJS – Role based access on GUI

译文：http://www.oschina.net/translate/angularjs-role-based-access-on-gui

当前文章：AngularJS – 实现基于角色访问控制的 GUI
URL链接：http://www.shufengxianlan.com/qtweb/news17/47167.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：创新互联