nodejs acl的用户权限管理详解


Posted in NodeJs onMarch 14, 2018

说明

Q: 这个工具用来做什么的呢

A: 用户有不同的权限,比如管理员,vip,普通用户,每个用户对应访问api,页面都不一样

nodejs有两个比较有名的权限管理模块 一个是acl 一个是rbac 综合对比了一下最终在做项目的时候选择了acl

功能列表:

  1. addUserRoles //给某用户添加角色
  2. removeUserRoles //移除某用户角色
  3. userRoles //获取某用户所有角色
  4. roleUsers //获取所有是此角色的用户
  5. hasRole // 某用户是否是某角色
  6. addRoleParents //给某角色增加父角色
  7. removeRoleParents //移除某觉得的某父角色或所有父角色
  8. removeRole //移除某角色
  9. removeResource //移除某资源
  10. allow //给某些角色增加某些资源的某些权限
  11. removeAllow //移除某些角色的某些资源的某些权限
  12. allowedPermissions //查询某人的所有资源及其权限
  13. isAllowed //查询某人是否有某资源的某权限
  14. areAnyRolesAllowed //查询某角色是否有某资源的某权限
  15. whatResources //查询某角色有哪些资源
  16. middleware //middleware for express
  17. backend //指定方式(mongo/redis…)

ACL名词及其主要方法

roles 角色

  1. removeRole
  2. addRoleParents
  3. allow
  4. removeAllow

resources 资源

  1. whatResources
  2. removeResource

permissions 权限

users 用户

  1. allowedPermissions
  2. isAllowed
  3. addUserRoles
  4. removeUserRoles
  5. userRoles
  6. roleUsers
  7. hasRole
  8. areAnyRolesAllowed

使用方法

  1. 建立起配置文件
  2. 用户登录后分配相应的权限
  3. 需要控制的地方使用acl做校检

配置文件

const Acl = require('acl');
const aclConfig = require('../conf/acl_conf');

module.exports = function (app, express) {
  const acl = new Acl(new Acl.memoryBackend()); // eslint-disable-line

  acl.allow(aclConfig);

  return acl;
};

// acl_conf

module.exports = [
  {
    roles: 'normal', // 一般用户
    allows: [
      { resources: ['/admin/reserve'], permissions: ['get'] },
    ]
  },
  {
    roles: 'member', // 会员
    allows: [
      { resources: ['/admin/reserve', '/admin/sign'], permissions: ['get'] },
      { resources: ['/admin/reserve/add-visitor', '/admin/reserve/add-visitor-excel', '/admin/reserve/audit', '/admin/sign/ban'], permissions: ['post'] },
    ]
  },
  {
    roles: 'admin',  // 管理
    allows: [
      { resources: ['/admin/reserve', '/admin/sign', '/admin/set'], permissions: ['get'] },
      { resources: ['/admin/set/add-user', '/admin/set/modify-user'], permissions: ['post'] },
    ]
  },
  {
    roles: 'root', // 最高权限
    allows: [
      { resources: ['/admin/reserve', '/admin/sign', '/admin/set'], permissions: ['get'] },
    ]
  }
];

校检

这里是结合express做校检...结果发现acl自己提供的中间件太鸡肋了,这里就重写了一个。

function auth() {
    return async function (req, res, next) {
      let resource = req.baseUrl;
      if (req.route) { // 正常在control中使用有route属性 但是使用app.use则不会有
        resource = resource + req.route.path;
      }
      console.log('resource', resource);

      // 容错 如果访问的是 /admin/sign/ 后面为 /符号认定也为过
      if (resource[resource.length - 1] === '/') {
        resource = resource.slice(0, -1);
      }

      let role = await acl.hasRole(req.session.userName, 'root');

      if (role) {
        return next();
      }

      let result = await acl.isAllowed(req.session.userName, resource, req.method.toLowerCase());
      // if (!result) {
      //   let err = {
      //     errorCode: 401,
      //     message: '用户未授权访问',
      //   };
      //   return res.status(401).send(err.message);
      // }
      next();
    };
  }

有点要说明的是express.Router支持导出一个Router模块 再在app.use使用,但是如果你这样使用 app.use('/admin/user',auth(), userRoute); 那么是在auth这个函数是获取不到 req.route 这个属性的。 因为acl对访问权限做的是强匹配,所以需要有一定的容错

登录的权限分配

result为数据库查询出来的用户信息,或者后台api返给的用户信息,这里的switch可以使用配置文件的形式,因为我这边本次项目只有三个权限,所以就在这里简单写了一下。

let roleName = 'normal';

  switch (result.result.privilege) {
    case 0:
      roleName = 'admin';
      break;
    case 1:
      roleName = 'normal';
      break;
    case 2:
      roleName = 'member';
      break;
  }

  if (result.result.name === 'Nathan') {
    roleName = 'root';
  }

  req.session['role'] = roleName;
  // req.session['role'] = 'root';  // test
  acl.addUserRoles(result.result.name, roleName);
  // acl.addUserRoles(result.result.name, 'root'); // test

pug页面中的渲染逻辑控制

在 express+pug中 app.locals.auth= async function(){} 这个写法在pug渲染的时候是不会得出最终结果的,因为pug是同步的,那么我如何控制当前页面或者说当前页面的按钮用户是否有权限展示出来, 这里通用的做法有

  1. 用户在登录的时候有一个路由表和组件表 然后在渲染的时候 根据这个表去渲染
  2. 在需要权限控制的地方,使用函数来判断用户是否有权限访问

我这里采用的是结局方案2.因为比较方便, 但是问题来了 express+pug是不支持异步的写法,而acl提供给我们的全是异步的, 因为时间原因,我没有去深究里面的判断,而是采用了一种耦合性比较高但是比较方便的判断方法.

app.locals.hasRole = function (userRole, path, method = 'get') {

  if (userRole === 'root') {
    return true;
  }

  const current = aclConf.find((n) => {
    return n['roles'] === userRole;
  });

  let isFind = false;
  for (let i of current.allows) {
    const currentPath = i.resources; // 目前数组第一个为单纯的get路由
    isFind = currentPath.includes(path);

    if (isFind) {
      // 如果找到包含该路径 并且method也对应得上 那么则通过
      if (i.permissions.includes(method)) {
        break;
      }

      // 如果找到该路径 但是method对应不上 则继续找.
      continue;
    }
  }

  return isFind;
};

上述代码页比较简单, 去遍历acl_conf,查找用户是否有当前页面的或者按钮的权限 因为acl_conf在加载的时候就已经被写入内存了,所以性能消耗不会特别大。比如下面的例子。

if hasRole(user.role, '/admin/reserve/audit', 'post')
          .col.l3.right-align
            a.waves-effect.waves-light.btn.margin-right.blue.font12.js-reviewe-ok 同意
            a.waves-effect.waves-light.btn.pink.accent-3.font12.js-reviewe-no 拒绝

结尾

依靠acl这个组件可以快速打造一个用户的权限管理模块。 但是还有个问题 也急速那个app.locals.hasRole函数, 如果你使用removeAllow动态改变了用户的权限表,那么hasRole函数就很麻烦了。 所以在这种情况下 有以下几个解决方案

  1. 从acl源码入手
  2. 每次渲染的时候就把数据准备好
const hasBtn1Role = hasRole(user.role, '/xxx','get');
res.render('a.pug',{hasBtn1Role})

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

NodeJs 相关文章推荐
用nodejs写的一个简单项目打包工具
May 11 NodeJs
Nodejs使用mysql模块之获得更新和删除影响的行数的方法
Mar 18 NodeJs
轻松创建nodejs服务器(8):非阻塞是如何实现的
Dec 18 NodeJs
Nodejs关于gzip/deflate压缩详解
Mar 04 NodeJs
iPhone手机上搭建nodejs服务器步骤方法
Jul 06 NodeJs
nodejs redis 发布订阅机制封装实现方法及实例代码
Dec 15 NodeJs
NodeJS配置HTTPS服务实例分享
Feb 19 NodeJs
nodejs实现简单的gulp打包
Dec 21 NodeJs
nodeJs实现基于连接池连接mysql的方法示例
Feb 10 NodeJs
nodejs之koa2请求示例(GET,POST)
Aug 07 NodeJs
NodeJS 将文件夹按照存放路径变成一个对应的JSON的方法
Oct 17 NodeJs
搭建一个nodejs脚手架的方法步骤
Jun 28 NodeJs
nodejs爬虫初试superagent和cheerio
Mar 05 #NodeJs
Nodejs模块载入运行原理
Feb 23 #NodeJs
Nodejs下使用gm圆形裁剪并合成图片的示例
Feb 22 #NodeJs
nodejs微信扫码支付功能实现
Feb 17 #NodeJs
nodejs+express搭建多人聊天室步骤
Feb 12 #NodeJs
nodeJs实现基于连接池连接mysql的方法示例
Feb 10 #NodeJs
NodeJS简单实现WebSocket功能示例
Feb 10 #NodeJs
You might like
php模拟socket一次连接,多次发送数据的实现代码
2011/07/26 PHP
PHP数据过滤的方法
2013/10/30 PHP
五款PHP代码重构工具推荐
2014/10/14 PHP
thinkphp视图模型查询提示ERR: 1146:Table 'db.pr_order_view' doesn't exist的解决方法
2014/10/30 PHP
JavaScript实现网页图片等比例缩放实现代码及调用方式
2013/02/25 Javascript
jQuery基于ajax实现带动画效果无刷新柱状图投票代码
2015/08/10 Javascript
Javascript之Number对象介绍
2016/06/07 Javascript
全面解析Bootstrap表单样式的使用
2016/09/09 Javascript
Javascript DOM事件操作小结(监听鼠标点击、释放,悬停、离开等)
2017/01/20 Javascript
js实现悬浮窗效果(支持拖动)
2017/03/09 Javascript
vue+axios新手实践实现登陆的示例代码
2018/06/06 Javascript
js动态设置select下拉菜单的默认选中项实例
2018/08/21 Javascript
JavaScript日期工具类DateUtils定义与用法示例
2018/09/03 Javascript
详解在Javascript中进行面向切面编程
2019/04/28 Javascript
Node.js系列之发起get/post请求(2)
2019/08/30 Javascript
详解小程序如何动态绑定点击的执行方法
2019/11/26 Javascript
js实现AI五子棋人机大战
2020/05/28 Javascript
如何实现vue的tree组件
2020/12/03 Vue.js
vue从后台渲染文章列表以及根据id跳转文章详情详解
2020/12/14 Vue.js
用Python编写分析Python程序性能的工具的教程
2015/04/01 Python
selenium+python截图不成功的解决方法
2019/01/30 Python
详解python tkinter模块安装过程
2020/01/06 Python
推荐10个CSS3 制作的创意下拉菜单效果
2014/02/11 HTML / CSS
欧舒丹澳洲版:L’OCCITANE
2017/07/17 全球购物
最新远光软件笔试题面试题内容
2013/11/08 面试题
自我评价的写作规则
2014/01/06 职场文书
施工安全标语
2014/06/07 职场文书
ktv好的活动方案
2014/08/15 职场文书
小学生田径运动会广播稿
2014/09/11 职场文书
中学生秋季运动会广播稿
2014/09/21 职场文书
代领报检证委托书范本
2014/10/11 职场文书
2014年乡镇工作总结
2014/11/21 职场文书
行政司机岗位职责
2015/04/10 职场文书
2016中学教师读书心得体会
2016/01/13 职场文书
MySQL外键约束(Foreign Key)案例详解
2022/06/28 MySQL
Python可视化神器pyecharts绘制水球图
2022/07/07 Python