用户身份认证
用户身份认证,就是让你知道我是我,不是别人的事儿,更安全的保护咱们的系统~在做这个时,有几种常见方法,像用户名和密码验证,还有第三方登录验证。假如咱们用用户名密码验证的话,得先在前台把账号密码输好,然后发到后台去检测。如果用第三方登录验证就方便多了,直接从那些大牌平台(比如Google、Facebook啥的)上就能登陆,省得再去注册这么麻烦。vue里面这个过程也不难搞,用个现成的工具包比如axios之类的就可以搞定~
搞账户登录,得先弄个登录页,让大家输个帐号密码啥的。点了“登录”,前端用个叫axios的东东发个请求,后端就去检验你输的对不对。对了的话,它就给你个“通行证”(token),然后把它传回前端。得到这玩意儿,前端就往本地或者会话存储(localStorage或sessionStorage)里放一放,之后所有请求都带它,这样就能证明你的身份!
平时我们开发时,除了用普通的用户名密码登录之外,还会碰到要用第三方账户登录的事。比如用户能选用Google账号来登入我们的系统,这时候就要把前端跟外面的平台协议对接起来了。等用户点下那个第三方登录按钮,前端就得跳转到别的网站去登录了。等登陆完了,外面的平台会回给前端一个代码,这边接收到代码之后就发往后端让他们验证,然后拿到正确的Token来保存及使用。
用户授权
你知道吗?用Vue做开发的时候,除了要验证用户身份,还要看他们的身份信息赋予不同权限。同样在一个系统里,不同角色的人都可能有不一样的操作权。为了做到这一点,我们通常用’路由守卫’start)这个东西来管权限。
路由守卫就是在切换路径前后做点啥事情。在Vue里,我们用router内置的beforeEach方法就能搞定路由守卫!每次要换页面之前,这个beforeEach就会被调用出来。我们就在这里面看看当前有没有登录还有权限够不够,这样就可以轻轻松松搞权限管理了。
举个例子,在`beforeEach()`方法中,咱们首先看下这个人是不是已经悄悄登录了。要是没登录的话,跳到登录页去,挺方便的。如果是已经登陆过的话,那我们再问一下服务器有没有给我们的账号派发当he权利,就像调用`checkPermission()`这种方法那样。到时候,按照服务器给的反馈信息,告诉我们这个人能不能访问准备要跳转过去的页面,这样就能确保我们的资源不被那些不请自来的客人随便拿走。
// 登录请求
import axios from 'axios';
axios.post('/api/login', {
username: 'admin',
password: '123456'
})
.then(function (response) {
// 登录成功,保存token到localStorage
localStorage.setItem('token', response.data.token);
})
.catch(function (error) {
// 登录失败,提示错误信息
console.log(error);
});
记住~我们得把权限检查放到后端,让前端只是给后端提供通道拿到权限结果。这样就能防止访问漏洞和数据被偷改等等问题!
权限管理
除了基本的验证和许可,在复杂点的系统里,权限管理得精确些,也得智变、活用。比方说,管理员要给不同人划定操作范围,有些特殊动作只给特定的人做。这个时候,我们常常用电梯控制器模式(RBAC:基于角色的访问控制)来管权限。
RBAC(Role Based Access Control)模型就是给每个人分配角色,让他们按照自己的角色来办事。这样可以根据需要随时调整角色对应的权力,不用每次都去修改用户权限了。只要设计好角色和权力的相互配合,就可以轻松实现这种效果!
在用Vue做开发的时候,如果要用RBAC模型来管理权限,就得先把几个数据库表格搞好,比如角色表、权限表还有角色-权限映射表等,同时还得给前端提供那些可以用来获取或者更新角色以及对应权限信息的API接口~
安全性考虑
处理账号安全的时候,千万别小看了那些漏洞,比如说XSS攻击,CSRF攻击什么的。所以,我们要用Vue技术做开发的话,得想办法让系统更安全才行。
首先,我们要设置一种叫“input validation”的东西,就是检查从用户那收到的信息,砍掉那些不安全的字符和病毒代码,这样就能防止XSS这种黑客攻击了。再者,要小心跨站请求伪造(也叫CSRF)这个陷阱,所以我们要在请求头上加上一些东西,就像一个叫CSRF Token的口令,然后检测一下它是不是真正来自我们自己的网站。另外,如果可能的话,用HTTPS协议来传输信息也是个很好的主意,这样就能加密我们所有的通讯内容!
日志记录与监控
// 路由守卫
import router from './router';
router.beforeEach(async (to, from, next) => {
// 获取用户token
const token = localStorage.getItem('token');
if (token) {
// 已登录,判断用户权限
const hasPermission = await checkPermission(token);
if (hasPermission) {
// 有权限,继续访问
next();
} else {
// 没有权限,跳转到无权限页面
next('/no-permission');
}
} else {
// 未登录,跳转到登录页面
next('/login');
}
});
// 权限检查函数
function checkPermission(token) {
return new Promise((resolve, reject) => {
axios.get('/api/checkPermission', {
headers: {
Authorization: `Bearer ${token}`
}
})
.then(function (response) {
resolve(response.data.hasPermission);
})
.catch(function (error) {
reject(error);
});
});
}
除了基础的安全保护,我们还要搞好身份验证和授权工作,还有就是日志记录与监控。记录每次请求回答信息、异常情况等,能帮咱们赶紧找出问题、找到原因;而检测系统运转状况、性能指标这些数据,能让咱们早发现可能有啥风险,然后采取应对措施。
咱们用Vue开发的时候,可以用ELK这套工具,也就是 Elasticsearch、Logstash和 Kibana,来搞个日志监控系统。这样我们就能根据监测结果来调整,让系统更稳定安全了。
总结
说白了,用Vue做开发时,搞定各类用户认证授权这些事儿可挺费劲,也挺关键的。从最简单的“谁对密码知道得比我多”验证,到高端点的角色权限分配(RBAC)设计,再到注意系统有没有被黑,日志有没有被人偷看啥的,都得仔仔细细想明白才行,不然系统可跑不稳还容易出事!
搞个好点的设计加上几个好用的库和工具帮手,工作效率绝对高上加高,最后给用户的体验和服务肯定也是棒棒哒!
评论0