nodejs acl的用户权限管理详解


Posted in NodeJs onMarch 14, 2018

说明

Q: 这个工具用来做什么的呢

A: 用户有不同的权限,比如管理员,vip,普通用户,每个用户对应访问api,页面都不一样

nodejs有两个比较有名的权限管理模块 一个是acl 一个是rbac 综合对比了一下最终在做项目的时候选择了acl

功能列表:

  1. addUserRoles //给某用户添加角色
  2. removeUserRoles //移除某用户角色
  3. userRoles //获取某用户所有角色
  4. roleUsers //获取所有是此角色的用户
  5. hasRole // 某用户是否是某角色
  6. addRoleParents //给某角色增加父角色
  7. removeRoleParents //移除某觉得的某父角色或所有父角色
  8. removeRole //移除某角色
  9. removeResource //移除某资源
  10. allow //给某些角色增加某些资源的某些权限
  11. removeAllow //移除某些角色的某些资源的某些权限
  12. allowedPermissions //查询某人的所有资源及其权限
  13. isAllowed //查询某人是否有某资源的某权限
  14. areAnyRolesAllowed //查询某角色是否有某资源的某权限
  15. whatResources //查询某角色有哪些资源
  16. middleware //middleware for express
  17. backend //指定方式(mongo/redis…)

ACL名词及其主要方法

roles 角色

  1. removeRole
  2. addRoleParents
  3. allow
  4. removeAllow

resources 资源

  1. whatResources
  2. removeResource

permissions 权限

users 用户

  1. allowedPermissions
  2. isAllowed
  3. addUserRoles
  4. removeUserRoles
  5. userRoles
  6. roleUsers
  7. hasRole
  8. areAnyRolesAllowed

使用方法

  1. 建立起配置文件
  2. 用户登录后分配相应的权限
  3. 需要控制的地方使用acl做校检

配置文件

const Acl = require('acl');
const aclConfig = require('../conf/acl_conf');

module.exports = function (app, express) {
  const acl = new Acl(new Acl.memoryBackend()); // eslint-disable-line

  acl.allow(aclConfig);

  return acl;
};

// acl_conf

module.exports = [
  {
    roles: 'normal', // 一般用户
    allows: [
      { resources: ['/admin/reserve'], permissions: ['get'] },
    ]
  },
  {
    roles: 'member', // 会员
    allows: [
      { resources: ['/admin/reserve', '/admin/sign'], permissions: ['get'] },
      { resources: ['/admin/reserve/add-visitor', '/admin/reserve/add-visitor-excel', '/admin/reserve/audit', '/admin/sign/ban'], permissions: ['post'] },
    ]
  },
  {
    roles: 'admin',  // 管理
    allows: [
      { resources: ['/admin/reserve', '/admin/sign', '/admin/set'], permissions: ['get'] },
      { resources: ['/admin/set/add-user', '/admin/set/modify-user'], permissions: ['post'] },
    ]
  },
  {
    roles: 'root', // 最高权限
    allows: [
      { resources: ['/admin/reserve', '/admin/sign', '/admin/set'], permissions: ['get'] },
    ]
  }
];

校检

这里是结合express做校检...结果发现acl自己提供的中间件太鸡肋了,这里就重写了一个。

function auth() {
    return async function (req, res, next) {
      let resource = req.baseUrl;
      if (req.route) { // 正常在control中使用有route属性 但是使用app.use则不会有
        resource = resource + req.route.path;
      }
      console.log('resource', resource);

      // 容错 如果访问的是 /admin/sign/ 后面为 /符号认定也为过
      if (resource[resource.length - 1] === '/') {
        resource = resource.slice(0, -1);
      }

      let role = await acl.hasRole(req.session.userName, 'root');

      if (role) {
        return next();
      }

      let result = await acl.isAllowed(req.session.userName, resource, req.method.toLowerCase());
      // if (!result) {
      //   let err = {
      //     errorCode: 401,
      //     message: '用户未授权访问',
      //   };
      //   return res.status(401).send(err.message);
      // }
      next();
    };
  }

有点要说明的是express.Router支持导出一个Router模块 再在app.use使用,但是如果你这样使用 app.use('/admin/user',auth(), userRoute); 那么是在auth这个函数是获取不到 req.route 这个属性的。 因为acl对访问权限做的是强匹配,所以需要有一定的容错

登录的权限分配

result为数据库查询出来的用户信息,或者后台api返给的用户信息,这里的switch可以使用配置文件的形式,因为我这边本次项目只有三个权限,所以就在这里简单写了一下。

let roleName = 'normal';

  switch (result.result.privilege) {
    case 0:
      roleName = 'admin';
      break;
    case 1:
      roleName = 'normal';
      break;
    case 2:
      roleName = 'member';
      break;
  }

  if (result.result.name === 'Nathan') {
    roleName = 'root';
  }

  req.session['role'] = roleName;
  // req.session['role'] = 'root';  // test
  acl.addUserRoles(result.result.name, roleName);
  // acl.addUserRoles(result.result.name, 'root'); // test

pug页面中的渲染逻辑控制

在 express+pug中 app.locals.auth= async function(){} 这个写法在pug渲染的时候是不会得出最终结果的,因为pug是同步的,那么我如何控制当前页面或者说当前页面的按钮用户是否有权限展示出来, 这里通用的做法有

  1. 用户在登录的时候有一个路由表和组件表 然后在渲染的时候 根据这个表去渲染
  2. 在需要权限控制的地方,使用函数来判断用户是否有权限访问

我这里采用的是结局方案2.因为比较方便, 但是问题来了 express+pug是不支持异步的写法,而acl提供给我们的全是异步的, 因为时间原因,我没有去深究里面的判断,而是采用了一种耦合性比较高但是比较方便的判断方法.

app.locals.hasRole = function (userRole, path, method = 'get') {

  if (userRole === 'root') {
    return true;
  }

  const current = aclConf.find((n) => {
    return n['roles'] === userRole;
  });

  let isFind = false;
  for (let i of current.allows) {
    const currentPath = i.resources; // 目前数组第一个为单纯的get路由
    isFind = currentPath.includes(path);

    if (isFind) {
      // 如果找到包含该路径 并且method也对应得上 那么则通过
      if (i.permissions.includes(method)) {
        break;
      }

      // 如果找到该路径 但是method对应不上 则继续找.
      continue;
    }
  }

  return isFind;
};

上述代码页比较简单, 去遍历acl_conf,查找用户是否有当前页面的或者按钮的权限 因为acl_conf在加载的时候就已经被写入内存了,所以性能消耗不会特别大。比如下面的例子。

if hasRole(user.role, '/admin/reserve/audit', 'post')
          .col.l3.right-align
            a.waves-effect.waves-light.btn.margin-right.blue.font12.js-reviewe-ok 同意
            a.waves-effect.waves-light.btn.pink.accent-3.font12.js-reviewe-no 拒绝

结尾

依靠acl这个组件可以快速打造一个用户的权限管理模块。 但是还有个问题 也急速那个app.locals.hasRole函数, 如果你使用removeAllow动态改变了用户的权限表,那么hasRole函数就很麻烦了。 所以在这种情况下 有以下几个解决方案

  1. 从acl源码入手
  2. 每次渲染的时候就把数据准备好
const hasBtn1Role = hasRole(user.role, '/xxx','get');
res.render('a.pug',{hasBtn1Role})

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

NodeJs 相关文章推荐
NodeJS 模块开发及发布详解分享
Mar 07 NodeJs
轻松创建nodejs服务器(8):非阻塞是如何实现的
Dec 18 NodeJs
nodejs中实现sleep功能实例
Mar 24 NodeJs
Nodejs学习笔记之测试驱动
Apr 16 NodeJs
NodeJS基础API搭建服务器详细过程记录
Apr 01 NodeJs
docker中编译nodejs并使用nginx启动
Jun 23 NodeJs
使用vs code开发Nodejs程序的使用方法
Sep 21 NodeJs
nodejs实现的简单web服务器功能示例
Mar 15 NodeJs
NodeJS父进程与子进程资源共享原理与实现方法
Mar 16 NodeJs
详解Nodejs内存治理
May 13 NodeJs
nodeJS进程管理器pm2的使用
Jan 09 NodeJs
M2实现Nodejs项目自动部署的方法步骤
May 05 NodeJs
nodejs爬虫初试superagent和cheerio
Mar 05 #NodeJs
Nodejs模块载入运行原理
Feb 23 #NodeJs
Nodejs下使用gm圆形裁剪并合成图片的示例
Feb 22 #NodeJs
nodejs微信扫码支付功能实现
Feb 17 #NodeJs
nodejs+express搭建多人聊天室步骤
Feb 12 #NodeJs
nodeJs实现基于连接池连接mysql的方法示例
Feb 10 #NodeJs
NodeJS简单实现WebSocket功能示例
Feb 10 #NodeJs
You might like
无数据库的详细域名查询程序PHP版(3)
2006/10/09 PHP
延长phpmyadmin登录时间的方法
2011/02/06 PHP
PHP+Mysql+jQuery查询和列表框选择操作实例讲解
2015/10/22 PHP
php字符串的替换,分割和连接方法
2016/05/23 PHP
jQuery EasyUI API 中文文档 - Documentation 文档
2011/09/29 Javascript
jQuery向上遍历DOM树之parents(),parent(),closest()之间的区别
2013/12/02 Javascript
jQuery使用andSelf()来包含之前的选择集
2014/05/19 Javascript
JS解决iframe之间通信和自适应高度的问题
2016/08/24 Javascript
js 获取本地文件及目录的方法(推荐)
2016/11/10 Javascript
JS实现二叉查找树的建立以及一些遍历方法实现
2017/04/17 Javascript
微信小程序简单实现form表单获取输入数据功能示例
2017/11/30 Javascript
基于mpvue的小程序项目搭建的步骤
2018/05/22 Javascript
JavaScript实现仿Clock ISO时钟
2018/06/29 Javascript
LayUi使用switch开关,动态的去控制它是否被启用的方法
2019/09/21 Javascript
JavaScript实现省市联动效果
2019/11/22 Javascript
vue如何使用rem适配
2021/02/06 Vue.js
[02:38]DOTA2超级联赛专访Loda 认为IG世界最强
2013/05/27 DOTA
Pandas之drop_duplicates:去除重复项方法
2018/04/18 Python
Django框架orM与自定义SQL语句混合事务控制操作
2019/06/27 Python
解决python-docx打包之后找不到default.docx的问题
2020/02/13 Python
浅谈python3 构造函数和析构函数
2020/03/12 Python
Python格式化输出--%s,%d,%f的代码解析
2020/04/29 Python
Python 生成短8位唯一id实战教程
2021/01/13 Python
python爬虫爬取某网站视频的示例代码
2021/02/20 Python
娇韵诗加拿大官网:Clarins加拿大
2017/11/20 全球购物
国际奢侈品品牌童装购物网站:Designer Childrenswear
2019/05/08 全球购物
可以使用抽象函数重写基类中的虚函数吗
2013/06/02 面试题
用Python匹配HTML tag的时候,<.*>和<.*?>有什么区别
2012/11/04 面试题
什么时候需要进行强制类型转换
2016/09/03 面试题
小学教师的个人自我鉴定
2013/10/26 职场文书
策划总监岗位职责
2014/02/16 职场文书
祖国在我心中演讲稿600字
2014/05/04 职场文书
项目申请汇报材料
2014/08/16 职场文书
我的中国梦演讲稿300字
2014/08/19 职场文书
医院志愿者活动总结
2015/05/06 职场文书
浅谈JS的二进制家族
2021/05/09 Javascript