angular基于ui-router实现系统权限控制

前端去实现权限控制听起来有点扯淡（实际也有点扯淡），掩耳盗铃，主要是担忧安全问题，可是若是在先后端分离的状况下，须要作一个带有权限控制的后台管理系统，angular基于ui-router应该怎么作呢？

权限的设计中比较常见的就是RBAC基于角色的访问控制,基本思想是，对系统操做的各类权限不是直接授予具体的用户，而是在用户集合与权限集合之间创建一个角色集合。每一种角色对应一组相应的权限。

 一旦用户被分配了适当的角色后，该用户就拥有此角色的全部操做权限。这样作的好处是，没必要在每次建立用户时都进行分配权限的操做，只要分配用户相应的角色便可，并且角色的权限变动比用户的权限变动要少得多，这样将简化用户的权限管理，减小系统的开销。

前端基于angular开发的管理系统在权限控制方面须要处理以下几种状况：

一、UI，该用户对应的角色权限可以访问哪些页面不能访问哪些页面；

二、理由，当用户准备跳转到某一页面时，若是没有该页面的访问权，重定向到一个错误提示页面；

三、http请求，该用户是否具备访问某些API的权限，若是没有返回403

若是处理以上问题？

 大体思路是：

一、用户登陆后从server获取该用户的permission

二、而后创建一个service来保存该permission的映射关系，好比a用户的permission是查看page1，page2，那么在路由发生变动以前判断是否有访问的权限，有正常跳转，没有则跳转到统一的403页面或者其余。

三、对于http请求，可让server来处理，判断用户是否有请求权限

 

获取用户permission，好比：

var permissionList;  
angular.element(document).ready(function() {  
  $.get('/api/UserPermission', function(data) {  
    permissionList = data;  
    angular.bootstrap(document, ['App']);  
  });  
}); 

这里用到的是jquery的ajax，由于在此以前angular还没启动，若是咱们的登陆也是用angular实现，能够在登陆以后让server返回permission，而后保存下来。

 

判断该用户是否具备某个权限，好比：

app.factory('permissions', function($rootScope) {
        return {
            hasPermission: function(permission) {
                if (permission) {
                    if (typeof(permission) == "string") {
                        if (permissionList.indexOf(permission) > -1) {
                            return true;
                        }
                    }
                }
                return false;
            }
        };
    });

 

路由权限控制：

app.run(function($rootScope, $location,$state, permissions) {
        $rootScope.$on('$stateChangeStart', function(event, toState, toParams, fromState, fromParams) {
            var permission = toState.permission;   
            if (toState.name!="login"&&!permissions.hasPermission(permission)) {
                // event.preventDefault();
                // $state.transitionTo("login");
            }
        });
    });

   //路由配置
    app.config(function($stateProvider, $urlRouterProvider, $controllerProvider) {
        app.registerController = $controllerProvider.register;
        app.loadJs = function(js) {
            return function($rootScope, $q) {
                var def = $q.defer(),
                    deps = [];
                angular.isArray(js) ? (deps = js) : deps.push(js);
                require(deps, function() {
                    $rootScope.$apply(function() {
                        def.resolve();
                    });
                });
                return def.promise;
            };
        };
        $urlRouterProvider.otherwise('/login');
        $stateProvider.state('login', {
            url: '/login',
            templateUrl: '/assets/console/pages/login.html',
            controller: 'loginController',
            resolve: {
                deps: app.loadJs('./controllers/login')
            }
        });
        $stateProvider.state('index', {
            url: '/index',
            templateUrl: '/assets/console/pages/home.html',
            controller: 'indexController',
            resolve: {
                deps: app.loadJs('./controllers/index')
            },
            permission: "super_admin"
        });
    });

 

开发过程当中实际会遇到的问题：

一、登陆后如何刷新页面，由于咱们的登陆信息部分是server框架实现的，没彻底分离，因此登陆后登陆信息没有刷新，能够经过判断fromState和toState来判断是否从登陆页面跳转到指定页面，而后经过 $window.location.reload();实现页面的总体刷新。

二、跳转后当前导航的选中状态更新，state成功后刷新UI

app.run(['$rootScope', "$state", '$window', '$location', '$log', function($rootScope, $state, $window, $location, $log) {
        $rootScope.$on('$stateChangeSuccess',
            function(evt, toState, roParams, fromState, fromParams) {
                //若是是登陆进来就刷新页面
                setTimeout(function(){
                   appCommon.initUI();
                },500);
            });
    }]);