在以往的項目中，前后端常見的配合方式是前端提供頁面和ui加一點(diǎn)DuangDuangDuang的效果，后端搭建框架數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)交互(數(shù)據(jù)交互前后端有交集)，不管是.net、java or php都能一對多的提供前端服務(wù)，然而在新形式下項目中運(yùn)用了前端框架，開發(fā)情況就不一樣了，比如我要說的這是在angular框架下完成的開發(fā)，模式是后端提供服務(wù)和api文檔，頁面和數(shù)據(jù)交互及邏輯處理由前端完成，前端儼然是個完全的programer了，這個過程中就會遇到之前意想不到的問題(如果沒有做過后端開發(fā))，比如頁面權(quán)限控制，不得不說，使用前端的方式去做這些設(shè)置比較糾結(jié)，因為這方面的數(shù)據(jù)，也就是這些權(quán)限的‘標(biāo)示'，后端運(yùn)行的時候是可以直接獲得的，即像獲取字段數(shù)據(jù)a.b點(diǎn)一下就出來了，而前端只能用http請求的方式獲取，繁瑣麻煩；

　　其實(shí)在ng中做頁面訪問權(quán)有很多種方法，各有利弊，運(yùn)用的比較多的是攔截器，攔截器使得在前端往后端發(fā)送http請求之前或之后做一些操作，比如全局監(jiān)測用戶是否登錄，沒登陸就要跳轉(zhuǎn)的登錄頁面，登錄就可以訪問頁面；攔截器的使用往往配合后臺數(shù)據(jù)，也就是獲取到最新的‘標(biāo)示'，來確定這個頁面或者下個頁面要做什么操作；而這里我使用的是一種用前端控制的方式，不用數(shù)據(jù)交互，理念就是定義好不同等級/階段可以訪問的頁面，在路由的地方作攔截，針對一些不同等級/階段訪問權(quán)限定義明確的可以參考使用這種方法，代碼如下：

......
app.run(['$rootScope', '$state', '$window', function($rootScope, $state, $window) {
$rootScope.$on('$stateChangeStart', function(event, toState, toStateParams) {
//用戶訪問等級階段， 0 1 2
Array.prototype.contains = function(needle) {
for(i in this) {
if(this[i] == needle) return true;
}
return false;
}
var status=new Array("user.a","user.b","user.c","user.d","user.e","user.f","user.g");
var status0=new Array("user.a","user.b");
var status1=new Array("user.c","user.d");
var status2=new Array("user.a","user.b","user.c","user.d"); 
　　　　　if (status.contains(toState.name)) {
　　　　　　　if(initObj.getStatus()=="0"){
if(!status0.contains(toState.name)){
event.preventDefault();
$state.go('user.approve');
}
return;
}
if(initObj.getStatus()=="1"){
if(!status1.contains(toState.name)){
event.preventDefault();
$state.go('user.result');
}
return;
}
if(initObj.getStatus()=="2"){
if(!status2.contains(toState.name)){
event.preventDefault();
$state.go('user.result');
}
return;
}
}
})
}])
......

　　如碼所示，在ng的run里加上state監(jiān)聽(我這里使用了an-route-ui)，當(dāng)監(jiān)聽到路由跳轉(zhuǎn)的時候就進(jìn)行檢測，這里設(shè)想的可訪問‘標(biāo)示'的status數(shù)組里包含每個層級/階段可訪問的頁面/路由，比如status里是需要檢測的全集，status0、1 2分別是不同的層級/階段的權(quán)限訪問集合，也即是ng中路由跳轉(zhuǎn)的哈希值，也就代表了可訪問的頁面，利用這種檢測手段，沒有訪問權(quán)限的用戶就不能訪問某些頁面，比如用戶a的的層級階段配置是status1,包含user.c和user.d，initObj.getStatus()返回了他的狀態(tài)碼是1，當(dāng)他想訪問user.a頁面的時候，就會進(jìn)入initObj.getStatus()=="1"的判斷，但是他的配置可訪問頁面不包括user.a，也即!status1.contains(toState.name)（toState.name返回要跳轉(zhuǎn)的頁面，這里返回user.a），接下來進(jìn)入下面的操作，進(jìn)入公共頁面或提示頁面，原理基本是這樣；

　　當(dāng)然，這種方式跟后端的控制來說，是非常不安全的，也不嚴(yán)謹(jǐn)，因為就算項目中腳本進(jìn)行發(fā)布壓縮混淆后，細(xì)細(xì)瀏覽還是能找到這里的設(shè)置痕跡的，并且腳本在運(yùn)行之前是可編輯的，這就會造成很大的漏洞；不過在一些小項目中使用這些配置夠用了，并且就算有人修改了這個status配置，數(shù)據(jù)什么的都是從后端請求的，狀態(tài)不對也請求不到數(shù)據(jù)的，所以攻陷數(shù)據(jù)庫才算是真黑，從前端的腳本做攔截只是玩玩測試；

　　繼續(xù)發(fā)掘其他的優(yōu)化方法，有大神有更好的方法可以交流下；先到這里吧。

　　還有，光棍節(jié)到了，祝廣大單身狗早日脫單。嘿嘿~~~~

最新評論