在前后端分离以前,页面存放在服务端,通过对页面资源的控制。很容易实现 RBAC 的权限控制,此时资源仅对应页面,如 /products/add 对应的是添加产品的页面。
但是前后端分离以后,后端只提供接口,页面全部由前端负责,此时资源便有了两种不同的意义,一个是后端接口的资源,如 /products 一个是前端页面(路由)的资源,如 /products/query ,此时做到同时根据前后端资源去控制权限就显得比较复杂了。
想问下有没有此方面经验的 V 友,交流下前后端分离的情况下权限管理如何做才比较合适?
 |
1
chairuosen Mar 13, 2017
接口的权限是本质,严格控制。前端路由的权限只是表面,不能信赖,用前端存的 user 身份判断一下,不给入口就行,再严格一点的就不给路由。
|
 |
2
acrisliu OP @chairuosen 现在主要是只有一张菜单表,在纠结后端资源和前端资源怎么保存。。
|
 |
3
wc951 Mar 13, 2017 via Android
我觉得你需要一个 api 网关,所有调用后台服务接口都通过网关代理,这样就在网关处鉴权就行了
|
Select Language