nodejs acl的用户权限管理详解
说明
Q: 这个工具用来做什么的呢
A: 用户有不同的权限,比如管理员,vip,普通用户,每个用户对应访问api,页面都不一样
nodejs有两个比较有名的权限管理模块 一个是acl 一个是rbac 综合对比了一下最终在做项目的时候选择了acl
功能列表:
- addUserRoles //给某用户添加角色
- removeUserRoles //移除某用户角色
- userRoles //获取某用户所有角色
- roleUsers //获取所有是此角色的用户
- hasRole // 某用户是否是某角色
- addRoleParents //给某角色增加父角色
- removeRoleParents //移除某觉得的某父角色或所有父角色
- removeRole //移除某角色
- removeResource //移除某资源
- allow //给某些角色增加某些资源的某些权限
- removeAllow //移除某些角色的某些资源的某些权限
- allowedPermissions //查询某人的所有资源及其权限
- isAllowed //查询某人是否有某资源的某权限
- areAnyRolesAllowed //查询某角色是否有某资源的某权限
- whatResources //查询某角色有哪些资源
- middleware //middleware for express
- backend //指定方式(mongo/redis…)
ACL名词及其主要方法
roles 角色
- removeRole
- addRoleParents
- allow
- removeAllow
resources 资源
- whatResources
- removeResource
permissions 权限
users 用户
- allowedPermissions
- isAllowed
- addUserRoles
- removeUserRoles
- userRoles
- roleUsers
- hasRole
- areAnyRolesAllowed
使用方法
- 建立起配置文件
- 用户登录后分配相应的权限
- 需要控制的地方使用acl做校检
配置文件
const Acl = require('acl');
const aclConfig = require('../conf/acl_conf');
module.exports = function (app, express) {
const acl = new Acl(new Acl.memoryBackend()); // eslint-disable-line
acl.allow(aclConfig);
return acl;
};
// acl_conf
module.exports = [
{
roles: 'normal', // 一般用户
allows: [
{ resources: ['/admin/reserve'], permissions: ['get'] },
]
},
{
roles: 'member', // 会员
allows: [
{ resources: ['/admin/reserve', '/admin/sign'], permissions: ['get'] },
{ resources: ['/admin/reserve/add-visitor', '/admin/reserve/add-visitor-excel', '/admin/reserve/audit', '/admin/sign/ban'], permissions: ['post'] },
]
},
{
roles: 'admin', // 管理
allows: [
{ resources: ['/admin/reserve', '/admin/sign', '/admin/set'], permissions: ['get'] },
{ resources: ['/admin/set/add-user', '/admin/set/modify-user'], permissions: ['post'] },
]
},
{
roles: 'root', // 最高权限
allows: [
{ resources: ['/admin/reserve', '/admin/sign', '/admin/set'], permissions: ['get'] },
]
}
];
校检
这里是结合express做校检...结果发现acl自己提供的中间件太鸡肋了,这里就重写了一个。
function auth() {
return async function (req, res, next) {
let resource = req.baseUrl;
if (req.route) { // 正常在control中使用有route属性 但是使用app.use则不会有
resource = resource + req.route.path;
}
console.log('resource', resource);
// 容错 如果访问的是 /admin/sign/ 后面为 /符号认定也为过
if (resource[resource.length - 1] === '/') {
resource = resource.slice(0, -1);
}
let role = await acl.hasRole(req.session.userName, 'root');
if (role) {
return next();
}
let result = await acl.isAllowed(req.session.userName, resource, req.method.toLowerCase());
// if (!result) {
// let err = {
// errorCode: 401,
// message: '用户未授权访问',
// };
// return res.status(401).send(err.message);
// }
next();
};
}
有点要说明的是express.Router支持导出一个Router模块 再在app.use使用,但是如果你这样使用 app.use('/admin/user',auth(), userRoute); 那么是在auth这个函数是获取不到 req.route 这个属性的。 因为acl对访问权限做的是强匹配,所以需要有一定的容错
登录的权限分配
result为数据库查询出来的用户信息,或者后台api返给的用户信息,这里的switch可以使用配置文件的形式,因为我这边本次项目只有三个权限,所以就在这里简单写了一下。
let roleName = 'normal';
switch (result.result.privilege) {
case 0:
roleName = 'admin';
break;
case 1:
roleName = 'normal';
break;
case 2:
roleName = 'member';
break;
}
if (result.result.name === 'Nathan') {
roleName = 'root';
}
req.session['role'] = roleName;
// req.session['role'] = 'root'; // test
acl.addUserRoles(result.result.name, roleName);
// acl.addUserRoles(result.result.name, 'root'); // test
pug页面中的渲染逻辑控制
在 express+pug中 app.locals.auth= async function(){} 这个写法在pug渲染的时候是不会得出最终结果的,因为pug是同步的,那么我如何控制当前页面或者说当前页面的按钮用户是否有权限展示出来, 这里通用的做法有
- 用户在登录的时候有一个路由表和组件表 然后在渲染的时候 根据这个表去渲染
- 在需要权限控制的地方,使用函数来判断用户是否有权限访问
我这里采用的是结局方案2.因为比较方便, 但是问题来了 express+pug是不支持异步的写法,而acl提供给我们的全是异步的, 因为时间原因,我没有去深究里面的判断,而是采用了一种耦合性比较高但是比较方便的判断方法.
app.locals.hasRole = function (userRole, path, method = 'get') {
if (userRole === 'root') {
return true;
}
const current = aclConf.find((n) => {
return n['roles'] === userRole;
});
let isFind = false;
for (let i of current.allows) {
const currentPath = i.resources; // 目前数组第一个为单纯的get路由
isFind = currentPath.includes(path);
if (isFind) {
// 如果找到包含该路径 并且method也对应得上 那么则通过
if (i.permissions.includes(method)) {
break;
}
// 如果找到该路径 但是method对应不上 则继续找.
continue;
}
}
return isFind;
};
上述代码页比较简单, 去遍历acl_conf,查找用户是否有当前页面的或者按钮的权限 因为acl_conf在加载的时候就已经被写入内存了,所以性能消耗不会特别大。比如下面的例子。
if hasRole(user.role, '/admin/reserve/audit', 'post')
.col.l3.right-align
a.waves-effect.waves-light.btn.margin-right.blue.font12.js-reviewe-ok 同意
a.waves-effect.waves-light.btn.pink.accent-3.font12.js-reviewe-no 拒绝
结尾
依靠acl这个组件可以快速打造一个用户的权限管理模块。 但是还有个问题 也急速那个app.locals.hasRole函数, 如果你使用removeAllow动态改变了用户的权限表,那么hasRole函数就很麻烦了。 所以在这种情况下 有以下几个解决方案
- 从acl源码入手
- 每次渲染的时候就把数据准备好
const hasBtn1Role = hasRole(user.role, '/xxx','get');
res.render('a.pug',{hasBtn1Role})
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。
您可能感兴趣的文章:
- Linux下为Node.js程序配置MySQL或Oracle数据库的方法
相关推荐
-
Linux下为Node.js程序配置MySQL或Oracle数据库的方法
mysql使用 安装mysql 模块: 在安装根目录 cmd命令行执行命令 npm install mysql 安装成功后. mysql数据库表 已存在的情况下. 在nodejs根目录 新建mysql.js: var sys = require('util'); var mysql=require('mysql'); console.log('正在连接MySQL...'); var http = require("http"); var server=http.createServer
-
nodejs acl的用户权限管理详解
说明 Q: 这个工具用来做什么的呢 A: 用户有不同的权限,比如管理员,vip,普通用户,每个用户对应访问api,页面都不一样 nodejs有两个比较有名的权限管理模块 一个是acl 一个是rbac 综合对比了一下最终在做项目的时候选择了acl 功能列表: addUserRoles //给某用户添加角色 removeUserRoles //移除某用户角色 userRoles //获取某用户所有角色 roleUsers //获取所有是此角色的用户 hasRole // 某用户是否是某角色 addR
-
MySQL用户权限管理详解
用户权限管理主要有以下作用: 1. 可以限制用户访问哪些库.哪些表 2. 可以限制用户对哪些表执行SELECT.CREATE.DELETE.DELETE.ALTER等操作 3. 可以限制用户登录的IP或域名 4. 可以限制用户自己的权限是否可以授权给别的用户 一.用户授权 复制代码 代码如下: mysql> grant all privileges on *.* to 'yangxin'@'%' identified by 'yangxin123456' with grant option;
-
MySQL用户和数据权限管理详解
目录 1.管理用户 1.1.添加用户 1.2.删除用户 1.3.修改用户名 1.4.修改密码 2.授予权限和回收权限 2.1.授予权限 2.2.权限的转移和限制 2.3.回收权限 1.管理用户 1.1.添加用户 可以使用CREATE USER语句添加一个或多个用户,并设置相应的密码 语法格式: CREATE USER 用户名 [IDENTIFIED BY [PASSWORD]'密码'] CREATE USER用于创建新的MySQL账户.CREATE USER会在系统本身的mysql数据库的use
-
MongoDB数据库用户角色和权限管理详解
查看数据库 使用终端命令行输入 mongo 登陆 mongodb 之后切换到 admin 库,并认证后可查看所有数据库,操作如下所示: [root@renwole.com ~]# mongo MongoDB shell version v4.4.0 connecting to: mongodb://127.0.0.1:27017/?compressors=disabled&gssapiServiceName=mongodb Implicit session: session { "id&
-
MongoDB数据库权限管理详解
前几天网友问MongoDB数据库权限方面的问题.当时大致的了解了一下,这周仔细了解了一下.对于一个数据库不可能随意的访问,肯定要有写访问限制. 在了解这个之前首先熟悉下shell客户端.打开shell客户端的方法:mongo.关闭数据库引擎的话可以使用db.shutdownServer(). 一.shell命令 MongoDB的shell提供了一些命令,可以从shell提示符执行它们. help<option>:用于为MongoDB的shell命令显示语法帮助.option参数允许指定你想得到
-
mysql语句查询用户权限过程详解
在MySQL中,如何查看一个用户被授予了那些权限呢? 授予用户的权限可能分全局层级权限.数据库层级权限.表层级别权限.列层级别权限.子程序层级权限.具体分类如下: 全局层级 全局权限适用于一个给定服务器中的所有数据库.这些权限存储在mysql.user表中.GRANT ALL ON *.*和REVOKE ALL ON *.*只授予和撤销全局权限. 数据库层级 数据库权限适用于一个给定数据库中的所有目标.这些权限存储在mysql.db和mysql.host表中.GRANT ALL ON db_na
-
详解MySQL 用户权限管理
前言: 不清楚各位同学对数据库用户权限管理是否了解,作为一名 DBA ,用户权限管理是绕不开的一项工作内容.特别是生产库,数据库用户权限更应该规范管理.本篇文章将会介绍下 MySQL 用户权限管理相关内容. 1.用户权限简介 当我们创建过数据库用户后,还不能执行任何操作,需要为该用户分配适当的访问权限. 关于 MySQL 用户权限简单的理解就是数据库只允许用户做你权利以内的事情,不可以越界.比如只允许你执行 select 操作,那么你就不能执行 update 操作.只允许你从某个 IP 上连接
-
django站点管理详解
管理界面是基础设施中非常重要的一部分.这是以网页和有限的可信任管理者为基础的界面,它可以让你添加,编辑和删除网站内容.Django有自己的自动管理界面.这个特性是这样起作用的:它读取你模式中的元数据,然后提供给你一个强大而且可以使用的界面,网站管理者可以用它立即工作. Django的管理员模块是Django的标准库django.contrib的一部分.这个包还包括其它一些实用的模块: django.contrib.auth django.contrib.sessions django.contr
-
Linux目录与文件的权限意义详解
ls -l和ls -al的区别:第一个不会显示隐藏文件,第二个会显示隐藏文件(以点(.)开头的文件) 一.权限对文件(r.w.x主要针对文件的内容而言)的重要性 r:可读取文件内容 w:可以编辑.新增.修改该文件的内容(但不含删除文件) x:该文件具有可以被系统执行的权限 二.权限对目录的重要性 r:具有读取目录列表的权限,可以查询此目录下的文件名列表,无法切换到该目录内 w:具有相当重要的权限,可以让用户在目录内删除.更新.新建文件或目录 x:用户可以进入目录,调用目录内的资料.即可以执行cd
-
Django 自定义权限管理系统详解(通过中间件认证)
1. 创建工程文件, 修改setting.py文件 django-admin.py startproject project_name 特别是在 windows 上,如果报错,尝试用 django-admin 代替 django-admin.py 试试 setting.py 最终的配置文件 import os import sys # Build paths inside the project like this: os.path.join(BASE_DIR, ...) BASE_DIR =