nodejs acl的用户权限管理详解


Posted in NodeJs onMarch 14, 2018

说明

Q: 这个工具用来做什么的呢

A: 用户有不同的权限,比如管理员,vip,普通用户,每个用户对应访问api,页面都不一样

nodejs有两个比较有名的权限管理模块 一个是acl 一个是rbac 综合对比了一下最终在做项目的时候选择了acl

功能列表:

  1. addUserRoles //给某用户添加角色
  2. removeUserRoles //移除某用户角色
  3. userRoles //获取某用户所有角色
  4. roleUsers //获取所有是此角色的用户
  5. hasRole // 某用户是否是某角色
  6. addRoleParents //给某角色增加父角色
  7. removeRoleParents //移除某觉得的某父角色或所有父角色
  8. removeRole //移除某角色
  9. removeResource //移除某资源
  10. allow //给某些角色增加某些资源的某些权限
  11. removeAllow //移除某些角色的某些资源的某些权限
  12. allowedPermissions //查询某人的所有资源及其权限
  13. isAllowed //查询某人是否有某资源的某权限
  14. areAnyRolesAllowed //查询某角色是否有某资源的某权限
  15. whatResources //查询某角色有哪些资源
  16. middleware //middleware for express
  17. backend //指定方式(mongo/redis…)

ACL名词及其主要方法

roles 角色

  1. removeRole
  2. addRoleParents
  3. allow
  4. removeAllow

resources 资源

  1. whatResources
  2. removeResource

permissions 权限

users 用户

  1. allowedPermissions
  2. isAllowed
  3. addUserRoles
  4. removeUserRoles
  5. userRoles
  6. roleUsers
  7. hasRole
  8. areAnyRolesAllowed

使用方法

  1. 建立起配置文件
  2. 用户登录后分配相应的权限
  3. 需要控制的地方使用acl做校检

配置文件

const Acl = require('acl');
const aclConfig = require('../conf/acl_conf');

module.exports = function (app, express) {
  const acl = new Acl(new Acl.memoryBackend()); // eslint-disable-line

  acl.allow(aclConfig);

  return acl;
};

// acl_conf

module.exports = [
  {
    roles: 'normal', // 一般用户
    allows: [
      { resources: ['/admin/reserve'], permissions: ['get'] },
    ]
  },
  {
    roles: 'member', // 会员
    allows: [
      { resources: ['/admin/reserve', '/admin/sign'], permissions: ['get'] },
      { resources: ['/admin/reserve/add-visitor', '/admin/reserve/add-visitor-excel', '/admin/reserve/audit', '/admin/sign/ban'], permissions: ['post'] },
    ]
  },
  {
    roles: 'admin',  // 管理
    allows: [
      { resources: ['/admin/reserve', '/admin/sign', '/admin/set'], permissions: ['get'] },
      { resources: ['/admin/set/add-user', '/admin/set/modify-user'], permissions: ['post'] },
    ]
  },
  {
    roles: 'root', // 最高权限
    allows: [
      { resources: ['/admin/reserve', '/admin/sign', '/admin/set'], permissions: ['get'] },
    ]
  }
];

校检

这里是结合express做校检...结果发现acl自己提供的中间件太鸡肋了,这里就重写了一个。

function auth() {
    return async function (req, res, next) {
      let resource = req.baseUrl;
      if (req.route) { // 正常在control中使用有route属性 但是使用app.use则不会有
        resource = resource + req.route.path;
      }
      console.log('resource', resource);

      // 容错 如果访问的是 /admin/sign/ 后面为 /符号认定也为过
      if (resource[resource.length - 1] === '/') {
        resource = resource.slice(0, -1);
      }

      let role = await acl.hasRole(req.session.userName, 'root');

      if (role) {
        return next();
      }

      let result = await acl.isAllowed(req.session.userName, resource, req.method.toLowerCase());
      // if (!result) {
      //   let err = {
      //     errorCode: 401,
      //     message: '用户未授权访问',
      //   };
      //   return res.status(401).send(err.message);
      // }
      next();
    };
  }

有点要说明的是express.Router支持导出一个Router模块 再在app.use使用,但是如果你这样使用 app.use('/admin/user',auth(), userRoute); 那么是在auth这个函数是获取不到 req.route 这个属性的。 因为acl对访问权限做的是强匹配,所以需要有一定的容错

登录的权限分配

result为数据库查询出来的用户信息,或者后台api返给的用户信息,这里的switch可以使用配置文件的形式,因为我这边本次项目只有三个权限,所以就在这里简单写了一下。

let roleName = 'normal';

  switch (result.result.privilege) {
    case 0:
      roleName = 'admin';
      break;
    case 1:
      roleName = 'normal';
      break;
    case 2:
      roleName = 'member';
      break;
  }

  if (result.result.name === 'Nathan') {
    roleName = 'root';
  }

  req.session['role'] = roleName;
  // req.session['role'] = 'root';  // test
  acl.addUserRoles(result.result.name, roleName);
  // acl.addUserRoles(result.result.name, 'root'); // test

pug页面中的渲染逻辑控制

在 express+pug中 app.locals.auth= async function(){} 这个写法在pug渲染的时候是不会得出最终结果的,因为pug是同步的,那么我如何控制当前页面或者说当前页面的按钮用户是否有权限展示出来, 这里通用的做法有

  1. 用户在登录的时候有一个路由表和组件表 然后在渲染的时候 根据这个表去渲染
  2. 在需要权限控制的地方,使用函数来判断用户是否有权限访问

我这里采用的是结局方案2.因为比较方便, 但是问题来了 express+pug是不支持异步的写法,而acl提供给我们的全是异步的, 因为时间原因,我没有去深究里面的判断,而是采用了一种耦合性比较高但是比较方便的判断方法.

app.locals.hasRole = function (userRole, path, method = 'get') {

  if (userRole === 'root') {
    return true;
  }

  const current = aclConf.find((n) => {
    return n['roles'] === userRole;
  });

  let isFind = false;
  for (let i of current.allows) {
    const currentPath = i.resources; // 目前数组第一个为单纯的get路由
    isFind = currentPath.includes(path);

    if (isFind) {
      // 如果找到包含该路径 并且method也对应得上 那么则通过
      if (i.permissions.includes(method)) {
        break;
      }

      // 如果找到该路径 但是method对应不上 则继续找.
      continue;
    }
  }

  return isFind;
};

上述代码页比较简单, 去遍历acl_conf,查找用户是否有当前页面的或者按钮的权限 因为acl_conf在加载的时候就已经被写入内存了,所以性能消耗不会特别大。比如下面的例子。

if hasRole(user.role, '/admin/reserve/audit', 'post')
          .col.l3.right-align
            a.waves-effect.waves-light.btn.margin-right.blue.font12.js-reviewe-ok 同意
            a.waves-effect.waves-light.btn.pink.accent-3.font12.js-reviewe-no 拒绝

结尾

依靠acl这个组件可以快速打造一个用户的权限管理模块。 但是还有个问题 也急速那个app.locals.hasRole函数, 如果你使用removeAllow动态改变了用户的权限表,那么hasRole函数就很麻烦了。 所以在这种情况下 有以下几个解决方案

  1. 从acl源码入手
  2. 每次渲染的时候就把数据准备好
const hasBtn1Role = hasRole(user.role, '/xxx','get');
res.render('a.pug',{hasBtn1Role})

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

NodeJs 相关文章推荐
NodeJS的模块写法入门(实例代码)
Mar 07 NodeJs
Nodejs sublime text 3安装与配置
Jun 19 NodeJs
nodejs中操作mysql数据库示例
Dec 20 NodeJs
Nodejs关于gzip/deflate压缩详解
Mar 04 NodeJs
Nodejs 发送Post请求功能(发短信验证码例子)
Feb 09 NodeJs
Nodejs 获取时间加手机标识的32位标识实现代码
Mar 07 NodeJs
nodeJS(express4.x)+vue(vue-cli)构建前后端分离实例(带跨域)
Jul 05 NodeJs
NodeJS收发GET和POST请求的示例代码
Aug 25 NodeJs
基于nodejs实现微信支付功能
Dec 20 NodeJs
利用nodeJs anywhere搭建本地服务器环境的方法
May 12 NodeJs
NodeJS模块与ES6模块系统语法及注意点详解
Jan 04 NodeJs
NodeJs入门教程之定时器和队列
Mar 08 NodeJs
nodejs爬虫初试superagent和cheerio
Mar 05 #NodeJs
Nodejs模块载入运行原理
Feb 23 #NodeJs
Nodejs下使用gm圆形裁剪并合成图片的示例
Feb 22 #NodeJs
nodejs微信扫码支付功能实现
Feb 17 #NodeJs
nodejs+express搭建多人聊天室步骤
Feb 12 #NodeJs
nodeJs实现基于连接池连接mysql的方法示例
Feb 10 #NodeJs
NodeJS简单实现WebSocket功能示例
Feb 10 #NodeJs
You might like
php多用户读写文件冲突的解决办法
2013/11/06 PHP
php获取当月最后一天函数分享
2015/02/02 PHP
php简单实现无限分类树形列表的方法
2015/03/27 PHP
几行代码轻松实现PHP文件打包下载zip
2017/03/01 PHP
详解php语言最牛掰的Laravel框架
2017/11/20 PHP
JavaScript函数、方法、对象代码
2008/10/29 Javascript
JavaScript 原型继承
2011/12/26 Javascript
jquery $.ajax相关用法分享
2012/03/16 Javascript
js+css实现增加表单可用性之提示文字
2013/06/03 Javascript
实测jquery data()如何存值
2013/08/18 Javascript
JS正则表达式验证数字代码
2014/01/28 Javascript
JavaScript中几种排序算法的简单实现
2015/07/29 Javascript
js实现黑色简易的滑动门网页tab选项卡效果
2015/08/31 Javascript
jQuery Validate验证框架经典大全
2015/09/23 Javascript
基于easyui checkbox 的一些操作处理方法
2017/07/10 Javascript
利用javascript如何随机生成一定位数的密码
2017/09/22 Javascript
利用Javascript开发一个二维周视图日历
2017/12/14 Javascript
[04:16]完美世界DOTA2联赛PWL S2 集锦第一期
2020/11/23 DOTA
Python中使用ElementTree解析XML示例
2015/06/02 Python
python-opencv在有噪音的情况下提取图像的轮廓实例
2017/08/30 Python
Python Socket使用实例
2017/12/18 Python
Python求出0~100以内的所有素数
2018/01/23 Python
python tensorflow学习之识别单张图片的实现的示例
2018/02/09 Python
python将文本分每两行一组并保存到文件
2018/03/19 Python
python单线程下实现多个socket并发过程详解
2019/07/27 Python
Python基础之列表常见操作经典实例详解
2020/02/26 Python
Python DES加密实现原理及实例解析
2020/07/17 Python
Python数据可视化实现漏斗图过程图解
2020/07/20 Python
Html5实现移动端、PC端 刮刮卡效果
2016/06/30 HTML / CSS
Canvas制作旋转的太极的示例
2018/03/09 HTML / CSS
赫里福德的一家乡村零售商店:Philip Morris & Son
2017/06/25 全球购物
什么是典型的软件三层结构?软件设计为什么要分层?软件分层有什么好处?
2012/03/14 面试题
车间主管岗位职责
2013/11/14 职场文书
小学生期末评语
2014/04/21 职场文书
建议书的格式
2014/05/12 职场文书
环保倡议书怎么写
2014/05/16 职场文书