前后端分离,视图模板,根据授权动态生成菜单,authorization授权问题,有哪些解决方案?

web开发过程中遇到几个安全授权方面的问题,请教一下各位朋友。

问题列表:

1.后端开发,授权逻辑和业务逻辑分离吗? 授权逻辑有哪些组织方式?

2.MVC架构的web应用里面,视图view部分,要展示一个栏目的菜单列表,根据用户不同的角色/权限,菜单列表的内容也不同。普通用户和付费用户。像这种场景,如何处理?
+1)后端逻辑处理好,把数据交给视图模板,遍历渲染?
+2)后端返回基本数据,视图里面动态处理,动态生成菜单项目?

3.前后端分离情况下,后端负责api, 前端vuejs,这时怎么处理问题2里面的问题?

4.知乎,豆瓣,segmentfault等这类站点,安全授权是如何设计的?
acl和rbac这两种不同的授权方案同时用到吗?场景有哪些?

回答:

看到一篇文章: 基于 RESTful 风格的 API 前后端分离的项目如何做权限控制
https://www.v2ex.com/t/277765

回答:

我的做法是 采用JWT机制,TOKEN的第二部分中携带了权限元数据(或者你后端封装好的菜单列表),根据这个元数据 前端去判断是否渲染;
授权肯定是后端来做的,前端的授权没什么意义,都会被很轻易绕开,前端根据后端的权限判断,来区别化渲染就好了(其实前端不做相应操作也是可以的,只不过用户体验很不好,用户会经常打开没有数据的页面)。

暂无评论

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注