最近在做权限方面的一个开发,之前也做过。
之前做的权限是每个页面,每个路由后端都规定了code,这个code是固定不变的,前端写死这些对应关系,通过后端接口返回的code来进行权限的限制。
这次做的权限有了新的想法,不写死code,没有唯一值给前端,权限后端传,这就造成一个问题前端没有唯一值无法判断这个权限到底是属于哪个页面的,讨论了许久最后还是沿用上一次的方式,写死了code。
所以我就在想如果配置一个全部由后端接口返回的权限,前端不参与是否可行。
想来想去应该是可行的,只是后端需要做的比较多,但是可以实现更多的功能和配置。
我的想法是将页面的路由,title等全部由路由返回,包括点击按钮跳转到哪个页面都有后端接口返回,前端需要做的就是和后端约定好层级,目录这些东西,这样权限就完全实现了动态化。所有项都是可配置,可修改的,前端也不需要去遍历去判断权限,一个个的去做限制,全部由后端来进行控制,实现真正意义上的权限控制。
因为前端去控制权限毕竟不太安全,完全是可以绕开前端控制的,如果后端来做相比于前端会更加的安全,当然也会更加的复杂化,这是不可避免的。
当然这只是我的一点小小的想法,实际操作的话肯定有大量的问题出现。