nodejs acl的用户权限管理详解
说明
Q:这个工具用来做什么的呢
A:用户有不同的权限,比如管理员,vip,普通用户,每个用户对应访问api,页面都不一样
nodejs有两个比较有名的权限管理模块一个是acl一个是rbac综合对比了一下最终在做项目的时候选择了acl
功能列表:
- addUserRoles//给某用户添加角色
- removeUserRoles//移除某用户角色
- userRoles//获取某用户所有角色
- roleUsers//获取所有是此角色的用户
- hasRole//某用户是否是某角色
- addRoleParents//给某角色增加父角色
- removeRoleParents//移除某觉得的某父角色或所有父角色
- removeRole//移除某角色
- removeResource//移除某资源
- allow//给某些角色增加某些资源的某些权限
- removeAllow//移除某些角色的某些资源的某些权限
- allowedPermissions//查询某人的所有资源及其权限
- isAllowed//查询某人是否有某资源的某权限
- areAnyRolesAllowed//查询某角色是否有某资源的某权限
- whatResources//查询某角色有哪些资源
- middleware//middlewareforexpress
- backend//指定方式(mongo/redis…)
ACL名词及其主要方法
roles角色
- removeRole
- addRoleParents
- allow
- removeAllow
resources资源
- whatResources
- removeResource
permissions权限
users用户
- allowedPermissions
- isAllowed
- addUserRoles
- removeUserRoles
- userRoles
- roleUsers
- hasRole
- areAnyRolesAllowed
使用方法
- 建立起配置文件
- 用户登录后分配相应的权限
- 需要控制的地方使用acl做校检
配置文件
constAcl=require('acl'); constaclConfig=require('../conf/acl_conf'); module.exports=function(app,express){ constacl=newAcl(newAcl.memoryBackend());//eslint-disable-line acl.allow(aclConfig); returnacl; }; //acl_conf module.exports=[ { roles:'normal',//一般用户 allows:[ {resources:['/admin/reserve'],permissions:['get']}, ] }, { roles:'member',//会员 allows:[ {resources:['/admin/reserve','/admin/sign'],permissions:['get']}, {resources:['/admin/reserve/add-visitor','/admin/reserve/add-visitor-excel','/admin/reserve/audit','/admin/sign/ban'],permissions:['post']}, ] }, { roles:'admin',//管理 allows:[ {resources:['/admin/reserve','/admin/sign','/admin/set'],permissions:['get']}, {resources:['/admin/set/add-user','/admin/set/modify-user'],permissions:['post']}, ] }, { roles:'root',//最高权限 allows:[ {resources:['/admin/reserve','/admin/sign','/admin/set'],permissions:['get']}, ] } ];
校检
这里是结合express做校检...结果发现acl自己提供的中间件太鸡肋了,这里就重写了一个。
functionauth(){ returnasyncfunction(req,res,next){ letresource=req.baseUrl; if(req.route){//正常在control中使用有route属性但是使用app.use则不会有 resource=resource+req.route.path; } console.log('resource',resource); //容错如果访问的是/admin/sign/后面为/符号认定也为过 if(resource[resource.length-1]==='/'){ resource=resource.slice(0,-1); } letrole=awaitacl.hasRole(req.session.userName,'root'); if(role){ returnnext(); } letresult=awaitacl.isAllowed(req.session.userName,resource,req.method.toLowerCase()); //if(!result){ //leterr={ //errorCode:401, //message:'用户未授权访问', //}; //returnres.status(401).send(err.message); //} next(); }; }
有点要说明的是express.Router支持导出一个Router模块再在app.use使用,但是如果你这样使用app.use('/admin/user',auth(),userRoute);那么是在auth这个函数是获取不到req.route这个属性的。因为acl对访问权限做的是强匹配,所以需要有一定的容错
登录的权限分配
result为数据库查询出来的用户信息,或者后台api返给的用户信息,这里的switch可以使用配置文件的形式,因为我这边本次项目只有三个权限,所以就在这里简单写了一下。
letroleName='normal'; switch(result.result.privilege){ case0: roleName='admin'; break; case1: roleName='normal'; break; case2: roleName='member'; break; } if(result.result.name==='Nathan'){ roleName='root'; } req.session['role']=roleName; //req.session['role']='root';//test acl.addUserRoles(result.result.name,roleName); //acl.addUserRoles(result.result.name,'root');//test
pug页面中的渲染逻辑控制
在express+pug中app.locals.auth=asyncfunction(){}这个写法在pug渲染的时候是不会得出最终结果的,因为pug是同步的,那么我如何控制当前页面或者说当前页面的按钮用户是否有权限展示出来,这里通用的做法有
- 用户在登录的时候有一个路由表和组件表然后在渲染的时候根据这个表去渲染
- 在需要权限控制的地方,使用函数来判断用户是否有权限访问
我这里采用的是结局方案2.因为比较方便,但是问题来了express+pug是不支持异步的写法,而acl提供给我们的全是异步的,因为时间原因,我没有去深究里面的判断,而是采用了一种耦合性比较高但是比较方便的判断方法.
app.locals.hasRole=function(userRole,path,method='get'){ if(userRole==='root'){ returntrue; } constcurrent=aclConf.find((n)=>{ returnn['roles']===userRole; }); letisFind=false; for(letiofcurrent.allows){ constcurrentPath=i.resources;//目前数组第一个为单纯的get路由 isFind=currentPath.includes(path); if(isFind){ //如果找到包含该路径并且method也对应得上那么则通过 if(i.permissions.includes(method)){ break; } //如果找到该路径但是method对应不上则继续找. continue; } } returnisFind; };
上述代码页比较简单,去遍历acl_conf,查找用户是否有当前页面的或者按钮的权限因为acl_conf在加载的时候就已经被写入内存了,所以性能消耗不会特别大。比如下面的例子。
ifhasRole(user.role,'/admin/reserve/audit','post') .col.l3.right-align a.waves-effect.waves-light.btn.margin-right.blue.font12.js-reviewe-ok同意 a.waves-effect.waves-light.btn.pink.accent-3.font12.js-reviewe-no拒绝
结尾
依靠acl这个组件可以快速打造一个用户的权限管理模块。但是还有个问题也急速那个app.locals.hasRole函数,如果你使用removeAllow动态改变了用户的权限表,那么hasRole函数就很麻烦了。所以在这种情况下有以下几个解决方案
- 从acl源码入手
- 每次渲染的时候就把数据准备好
consthasBtn1Role=hasRole(user.role,'/xxx','get'); res.render('a.pug',{hasBtn1Role})
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持毛票票。