angular基於ui-router實現系統權限控制

前端去實現權限控制聽起來有點扯淡（實際也有點扯淡），掩耳盜鈴，主要是擔憂安全問題，可是若是在先後端分離的狀況下，須要作一個帶有權限控制的後臺管理系統，angular基於ui-router應該怎麼作呢？

權限的設計中比較常見的就是RBAC基於角色的訪問控制,基本思想是，對系統操做的各類權限不是直接授予具體的用戶，而是在用戶集合與權限集合之間創建一個角色集合。每一種角色對應一組相應的權限。

 一旦用戶被分配了適當的角色後，該用戶就擁有此角色的全部操做權限。這樣作的好處是，沒必要在每次建立用戶時都進行分配權限的操做，只要分配用戶相應的角色便可，並且角色的權限變動比用戶的權限變動要少得多，這樣將簡化用戶的權限管理，減小系統的開銷。

前端基於angular開發的管理系統在權限控制方面須要處理以下幾種狀況：

一、UI，該用戶對應的角色權限可以訪問哪些頁面不能訪問哪些頁面；

二、理由，當用戶準備跳轉到某一頁面時，若是沒有該頁面的訪問權，重定向到一個錯誤提示頁面；

三、http請求，該用戶是否具備訪問某些API的權限，若是沒有返回403

若是處理以上問題？

 大體思路是：

一、用戶登陸後從server獲取該用戶的permission

二、而後創建一個service來保存該permission的映射關係，好比a用戶的permission是查看page1，page2，那麼在路由發生變動以前判斷是否有訪問的權限，有正常跳轉，沒有則跳轉到統一的403頁面或者其餘。

三、對於http請求，可讓server來處理，判斷用戶是否有請求權限

 

獲取用戶permission，好比：

var permissionList;  
angular.element(document).ready(function() {  
  $.get('/api/UserPermission', function(data) {  
    permissionList = data;  
    angular.bootstrap(document, ['App']);  
  });  
}); 

這裏用到的是jquery的ajax，由於在此以前angular還沒啓動，若是咱們的登陸也是用angular實現，能夠在登陸以後讓server返回permission，而後保存下來。

 

判斷該用戶是否具備某個權限，好比：

app.factory('permissions', function($rootScope) {
        return {
            hasPermission: function(permission) {
                if (permission) {
                    if (typeof(permission) == "string") {
                        if (permissionList.indexOf(permission) > -1) {
                            return true;
                        }
                    }
                }
                return false;
            }
        };
    });

 

路由權限控制：

app.run(function($rootScope, $location,$state, permissions) {
        $rootScope.$on('$stateChangeStart', function(event, toState, toParams, fromState, fromParams) {
            var permission = toState.permission;   
            if (toState.name!="login"&&!permissions.hasPermission(permission)) {
                // event.preventDefault();
                // $state.transitionTo("login");
            }
        });
    });

   //路由配置
    app.config(function($stateProvider, $urlRouterProvider, $controllerProvider) {
        app.registerController = $controllerProvider.register;
        app.loadJs = function(js) {
            return function($rootScope, $q) {
                var def = $q.defer(),
                    deps = [];
                angular.isArray(js) ? (deps = js) : deps.push(js);
                require(deps, function() {
                    $rootScope.$apply(function() {
                        def.resolve();
                    });
                });
                return def.promise;
            };
        };
        $urlRouterProvider.otherwise('/login');
        $stateProvider.state('login', {
            url: '/login',
            templateUrl: '/assets/console/pages/login.html',
            controller: 'loginController',
            resolve: {
                deps: app.loadJs('./controllers/login')
            }
        });
        $stateProvider.state('index', {
            url: '/index',
            templateUrl: '/assets/console/pages/home.html',
            controller: 'indexController',
            resolve: {
                deps: app.loadJs('./controllers/index')
            },
            permission: "super_admin"
        });
    });

 

開發過程當中實際會遇到的問題：

一、登陸後如何刷新頁面，由於咱們的登陸信息部分是server框架實現的，沒徹底分離，因此登陸後登陸信息沒有刷新，能夠經過判斷fromState和toState來判斷是否從登陸頁面跳轉到指定頁面，而後經過 $window.location.reload();實現頁面的總體刷新。

二、跳轉後當前導航的選中狀態更新，state成功後刷新UI

app.run(['$rootScope', "$state", '$window', '$location', '$log', function($rootScope, $state, $window, $location, $log) {
        $rootScope.$on('$stateChangeSuccess',
            function(evt, toState, roParams, fromState, fromParams) {
                //若是是登陸進來就刷新頁面
                setTimeout(function(){
                   appCommon.initUI();
                },500);
            });
    }]);