java - RESTful服务如何对资源权限控制?
最近为一个基于RESTful服务的项目来做权限相关的东西。这个项目是基于RESTful风格来开发的,前端使用angular开发,基本达到了前后端分离。
目前身份认证使用的是JWT,但是对资源的权限控制我就不知道如何设计了。现在大概的想法是定义资源、权限、角色、用户这几张表,资源和权限绑定。然后通过过滤器验证每一个请求访问的资源对于当前用户是否有权限。但是前端的一些功能的按钮也对应的是一个接口,我如何告诉前端当前用户这个按钮是不显示的?
最近为一个基于RESTful服务的项目来做权限相关的东西。这个项目是基于RESTful风格来开发的,前端使用angular开发,基本达到了前后端分离。
目前身份认证使用的是JWT,但是对资源的权限控制我就不知道如何设计了。现在大概的想法是定义资源、权限、角色、用户这几张表,资源和权限绑定。然后通过过滤器验证每一个请求访问的资源对于当前用户是否有权限。但是前端的一些功能的按钮也对应的是一个接口,我如何告诉前端当前用户这个按钮是不显示的?
PHP中文网2017-04-17 17:54:17
为每个按钮(功能)设置唯一编号,用户授权的时候,就是按钮编号的集合,有该按钮即代表拥有该权限。
如果没有必要粒度做到这么细的话,可以设置把功能分类,比如增删改查,用户对应的权限也是这几种。
阿神2017-04-17 17:54:17
前端的一些功能的按钮也对应的是一个接口,我如何告诉前端当前用户这个按钮是不显示的?
这儿我也很困惑,这是一个问题。
另外还有一个问题:
前端页面需要根据用户权限的不同,显式或者隐藏不同的界面,或者按钮,链接等。这个时候如何处理?
