这是一个创建于 4512 天前的主题,其中的信息可能已经有所发展或是发生改变。
比如,根据登录用户的角色不同,对某个项目的权限是不同的。管理员是可以修改项目的,而普通用户只能查看。
如果前后端不分离的话,我可以在渲染模版的时候就是询问这些问题。
但是,如果是前后端分离的话,模版就是在前端渲染。比如我要判断这个 "update" 的按钮要不要显示要怎么办呢?我现在想到的是给每一个返回的 json 对象有一个单独的字段就是告诉它当前用户对它的权限是怎样的。比如 { can_update: true, can_delete: false } 这样的。
但是,感觉并不是最好的方案。有更好的办法吗。
哦,还有,我考虑的是传 json 格式的,不是后端拼好模板的情况。
如果前后端不分离的话,我可以在渲染模版的时候就是询问这些问题。
但是,如果是前后端分离的话,模版就是在前端渲染。比如我要判断这个 "update" 的按钮要不要显示要怎么办呢?我现在想到的是给每一个返回的 json 对象有一个单独的字段就是告诉它当前用户对它的权限是怎样的。比如 { can_update: true, can_delete: false } 这样的。
但是,感觉并不是最好的方案。有更好的办法吗。
哦,还有,我考虑的是传 json 格式的,不是后端拼好模板的情况。
 | 1 66beta 2013-06-04 18:01:48 +08:00 这个不就是变相处理了么 感觉穿普通拖鞋和人字拖的区别 |
 | 2 chemzqm 2013-06-04 18:06:45 +08:00 这种方式前后端耦合度太高了,最好做成单页面应用,登录后前端保存用户信息,组件渲染前JS判断下就行了。 |
 | 3 jasya 2013-06-04 18:07:24 +08:00 或者放在sessionStorage里 |
 | 4 kk71 2013-06-04 18:23:23 +08:00 via Android 为啥要前后分离呢…不过我觉得除了json似乎没有别的更好的办法了。或者可以用iframe? |
| 5 chemzqm 2013-06-04 18:27:23 +08:00 分离可以减轻后台负担,加快研发,如果前端能做好的话 |
 | 7 qq286735628 2013-06-04 19:26:17 +08:00 暴力的话,一个class解决 给页面容器最外层放个class,注明该页面权限是administrator还是guest,然后css配合是否显示。太暴力,安全问题多多。 后台给你的数据,应该会包括用户权限信息的,你根据这个来判断加载什么内容呗,这个弄起来有点麻烦就是,但应该这样做。 |
| 8 qq286735628 2013-06-04 19:30:58 +08:00 抱歉,刚才没细看。 你让json里面添加一个这个字段是对的。 如果json返回内容不可控,那你就得让后端另外再配一个接口,供你查询用户权限。 |
 | 10 Ricepig 2013-06-04 20:30:51 +08:00 via iPhone 前端处理安全不是为了安全,而是为了用户体验。 这会付出更多劳动,因为后端的代码同样不能少。 |
 | 11 aisensiy OP 哇 谢谢各位,感觉这里是能有建设性意见的地方。 |
 | 13 kangjia 2013-06-04 22:44:44 +08:00 接口处理权限即可。 |
 | 14 fyhqy 2013-06-04 23:58:18 +08:00 直接后端处理数据啊。js的json输出。这样最好搞。后段做好了。前端要什么没有 |
 | 15 Frannk 2013-06-05 00:27:45 +08:00 via Android 仅仅在项目比较大的时候: 如果不用amd 可以将代码模块化 在后端控制前端得到的js文件 这样不同权限的得到不同的模块 如果是amd的话 有点复杂 编译两套app 这样客户端得到不同代码 更加安全 小项目就先得到用户组,然后作为参数启动你的app,缺点是慢一点,app不能直接启动需要一次ajax,我一般是这样的 |
 | 16 leveraging 2013-06-05 00:56:38 +08:00 via Android 我觉得可以用授权来实现。类似auth.就像你做个app用js店总微博之类的接口一样。 |
 | 17 FrankFang128 2013-06-05 01:02:57 +08:00 你的方案是对的。简单实用。 不过这个逻辑可以直接放到后台做啊,如果你有使用模板的话。 |
 | 18 metaclass 2013-06-05 01:19:11 +08:00 @chemzqm 其实是因为目前硬件限制,如果负载能力足够大,都不需要搞蛋疼的前端MVC了。好比多线程,试想要有一个无限猛的主机,内存无限CPU单线程算什么东西都是瞬间,那根本没啥必要搞多线程或者分布式queue了,啥都单机解决还简单 |
 | 19 iamsk 2013-06-05 02:02:26 +08:00 via iPad 你的方案挺好,相当于前后端完全分离,后端以接口的方式提供给前端数据,后端的校验是必须的,这是安全问题,前端的校验就是用户体验与交互的问题啦 |
 | 20 cauliturtle 2013-06-05 02:09:00 +08:00 Javascript 好就是event driven, 所有request, 不能用node好,或是用前端(backbone)的方法,其中authenticate middleware不就解了? |
 | 21 gouflv 2013-06-05 15:34:17 +08:00 接口处理权限即可 楼主多虑 |
 | 22 refresh 2013-06-05 16:33:38 +08:00 这个项目,楼主可以参考一下: https://github.com/airbnb/rendr |
 | 23 DuXing 2016-06-13 11:47:01 +08:00 总结楼上的几个要点: #2 :前端保存用户信息 #10 : 前端的权限处理本质是提升体验 |
Select Language