前端权限控制设计:别再写死权限判断了

优质文章学习记录

3 min read
前端权限控制设计:别再写死权限判断了

前端权限控制设计:别再写死权限判断了

毒舌时刻

这代码写得跟网红滤镜似的——仅供参考。

各位前端同行,咱们今天聊聊前端权限控制。别告诉我你还在每个页面写死权限判断,那感觉就像在每个房间都装一把不同的锁——管理起来要命。

为什么你需要权限控制设计

最近看到一个项目,权限判断散落在100个文件里,改一个权限规则要改100处,我差点当场去世。我就想问:你是在做权限控制还是在做权限混乱?

反面教材

// 反面教材:分散的权限判断 // Page1.jsx if (user.role !== 'admin') { return <div>无权限</div>; } // Page2.jsx if (!user.permissions.includes('user:view')) { return <div>无权限</div>; } // Page3.jsx if (user.role !== 'admin' && user.role !== 'manager') { return <div>无权限</div>; } // ... 还有97个页面

毒舌点评:这代码,我看了都替你的维护成本着急。权限判断散落各处,你是想让自己变成权限修改机器人吗?

前端权限控制的正确姿势

1. 基于角色的权限控制(RBAC)

// 正确姿势:RBAC权限控制 // permissions/index.js const permissions = { admin: ['*'], // 所有权限 manager: ['user:view', 'user:edit', 'report:view'], user: ['user:view', 'profile:edit'] }; // 权限检查函数 export function hasPermission(user, permission) { const userPermissions = permissions[user.role] || []; return userPermissions.includes('*') || userPermissions.includes(permission); } // 权限指令(Vue) const permissionDirective = { mounted(el, binding) { const { value } = binding; const user = store.getters.user; if (!hasPermission(user, value)) { el.remove(); } } }; // 使用 <template> <button v-permission="'user:edit'">编辑用户</button> <button v-permission="'user:delete'">删除用户</button> </template>

2. 路由权限控制

// 正确姿势:路由权限控制 // router/index.js const routes = [ { path: '/admin', component: AdminLayout, meta: { requiresAuth: true, roles: ['admin'] }, children: [ { path: 'users', component: UserManagement, meta: { permission: 'user:manage' } } ] } ]; // 路由守卫 router.beforeEach((to, from, next) => { const user = store.getters.user; if (to.meta.requiresAuth && !user) { next('/login'); return; } if (to.meta.roles && !to.meta.roles.includes(user.role)) { next('/403'); return; } if (to.meta.permission && !hasPermission(user, to.meta.permission)) { next('/403'); return; } next(); });

3. 组件级权限控制

// 正确姿势:组件级权限控制 // components/Permission.jsx function Permission({ permission, children, fallback = null }) { const user = useUser(); if (!hasPermission(user, permission)) { return fallback; } return children; } // 使用 function UserPage() { return ( <div> <h1>用户管理</h1> <Permission permission="user:create"> <button>新建用户</button> </Permission> <Permission permission="user:delete"> <button>删除用户</button> </Permission> <Permission permission="user:export" fallback={<span>无导出权限</span>}> <button>导出数据</button> </Permission> </div> ); }

毒舌点评:早这么设计,你的权限早控制好了。别告诉我你还在写死权限判断,那你还是趁早去写静态页面吧。

实战技巧:权限控制指南

1. 权限设计原则

  1. 集中管理:权限配置集中存放
  2. 最小权限:只给必要的权限
  3. 动态获取:从服务端获取权限
  4. 前端校验:用户体验,后端兜底

2. 最佳实践

// ✅ 权限常量定义 const PERMISSIONS = { USER_VIEW: 'user:view', USER_CREATE: 'user:create', USER_EDIT: 'user:edit', USER_DELETE: 'user:delete' }; // ✅ 权限组合 const ADMIN_PERMISSIONS = [ PERMISSIONS.USER_VIEW, PERMISSIONS.USER_CREATE, PERMISSIONS.USER_EDIT, PERMISSIONS.USER_DELETE ]; // ✅ 权限检查 const canEditUser = hasPermission(user, PERMISSIONS.USER_EDIT);

最后想说的

权限控制不是小事,是应用安全的基石。别再写死权限判断了——设计好你的权限系统,应用会更安全、更易维护。

权限控制就像门禁系统,分散管理像每个门一把钥匙,集中管理像一卡通。别做钥匙管理员,做一卡通管理员。

Read more

UAV-Speed:基于 YOLO 目标跟踪与相机运动补偿的单目无人机车辆测速(二)——加权滑动平均速度优化

UAV-Speed:基于 YOLO 目标跟踪与相机运动补偿的单目无人机车辆测速(二)——加权滑动平均速度优化

文章目录 * 前言 * 一、pandas是什么? * 1. 背景与研究动机 * 2. 置信度加权指数滑动平均方法 * 3. 组合置信度权重的定义 * 4. 目标框一致性权重(Bounding-Box Consistency Weight) * 5. 单应性质量权重(Homography Quality Weight) * 6. 图像边缘邻近权重(Image Border Proximity Weight) * 7. 速度突变门控权重(Speed Jump Gating Weight) * 8. 讨论与总结 * 总结 前言 在前期工作中,我们实现了一套基于单目无人机视频的车辆速度估计算法框架,结合目标检测、目标跟踪与单应性背景补偿,在复杂斜视场景下实现了连续的目标速度估计,并在多段真实无人机视频中完成了验证。(具体详情请看前文)欢迎大家给我们的项目点赞支持 相关代码与实验配置已开源于 GitHub: 👉 https://github.com/Thamkench/

微信小程序案例 - 自定义 tabBar

一、前言 微信小程序原生的 tabBar 提供了底部导航栏的基础功能,但其样式和交互受限,难以满足日益增长的 UI 设计需求。因此,越来越多的小程序项目选择使用 自定义 tabBar 来实现更灵活、更美观的底部导航。 本文将带你从零开始,手把手实现一个完整的 微信小程序自定义 tabBar 案例,包括: ✅ tabBar 的结构设计 ✅ 动态切换页面 ✅ 图标与文字高亮状态管理 ✅ 样式美化与响应式适配 ✅ 页面跳转逻辑处理 ✅ 完整代码示例 并通过图文结合的方式帮助你掌握如何在实际项目中灵活应用自定义 tabBar。 二、为什么需要自定义 tabBar? 原生 tabBar 局限自定义 tabBar 优势样式固定,无法修改图标大小、颜色等可自由定制样式最多只能配置 5 个 tab 页灵活扩展,可做横向滚动不支持中间凸起按钮支持自定义布局难以集成动态数据可绑定数据、响应事件 三、项目目标 我们将实现一个类似美团风格的自定义 tabBar,

Stable Diffusion WebUI实战指南:从零精通AI绘画创作

Stable Diffusion WebUI实战指南:从零精通AI绘画创作 【免费下载链接】stable-diffusion-webuiAUTOMATIC1111/stable-diffusion-webui - 一个为Stable Diffusion模型提供的Web界面,使用Gradio库实现,允许用户通过Web界面使用Stable Diffusion进行图像生成。 项目地址: https://gitcode.com/GitHub_Trending/st/stable-diffusion-webui 想要用AI将文字转化为惊艳图像?Stable Diffusion WebUI作为最受欢迎的AI绘画工具,让每个人都能轻松驾驭Stable Diffusion的强大能力。本指南将带你从基础操作到高级技巧,全面掌握这个开源项目的使用精髓。 一、环境搭建与基础配置 1.1 项目部署快速上手 首先获取项目代码: git clone https://gitcode.com/GitHub_Trending/st/stable-diffusion-webui 启动WebUI服务:
protege+Neo4j+前端可视化知识图谱项目(教育领域)

protege+Neo4j+前端可视化知识图谱项目(教育领域)

声明:自己的学习笔记,仅供交流分享。 注意其中JDK版本的切换! 目录 1、工具下载 1.1protege的安装 1.2Neo4j的安装 2、Neo4j导入protege文件 2.1启动Neo4j 2.2protege导出owl文件转turtle文件 2.3导入Neo4j 1. 清除数据库中的所有数据 2. 初始化 RDF 导入配置 3. 导入 RDF 数据 4.查询所有(部分)数据 5.查询边关系 6.一些细节 3、Neo4j导出JSON文件 4、可视化前的操作 4.1利用python对数据进行处理 4.2学习VUE&Echarts 1、工具下载 1.