前端权限管理实现:别让用户看到不该看的东西!

优质文章学习记录

8 min read

前端权限管理实现:别让用户看到不该看的东西!

毒舌时刻

权限管理?听起来就像是前端工程师为了显得自己很专业而特意搞的一套复杂流程。你以为随便加个if语句就能实现权限管理?别做梦了!到时候你会发现,权限逻辑分散在各个组件中,难以维护。

你以为前端权限管理就是最终的安全保障?别天真了!前端权限管理只是为了提高用户体验,真正的安全保障在后端。还有那些所谓的权限管理库,看起来高大上,用起来却各种问题。

为什么你需要这个

  1. 用户体验:良好的权限管理可以为不同角色的用户提供不同的界面,提高用户体验。
  2. 安全性:前端权限管理可以防止用户访问不该访问的功能,提高应用的安全性。
  3. 代码组织:集中的权限管理可以使代码结构更清晰,便于维护。
  4. 可扩展性:良好的权限管理设计可以方便地添加新的角色和权限。
  5. 合规性:某些行业和地区要求应用必须实现严格的权限控制。

反面教材

// 1. 分散的权限逻辑 function AdminPanel() { const user = useUser(); if (user.role !== 'admin') { return <div>Access denied</div>; } return <div>Admin Panel</div>; } function UserProfile() { const user = useUser(); const userId = useParams().id; if (user.role !== 'admin' && user.id !== userId) { return <div>Access denied</div>; } return <div>User Profile</div>; } // 2. 硬编码权限 function Menu() { const user = useUser(); return ( <nav> <ul> <li><a href="/">Home</a></li> {user.role === 'admin' && <li><a href="/admin">Admin</a></li>} {user.role === 'user' && <li><a href="/profile">Profile</a></li>} {user.role === 'guest' && <li><a href="/login">Login</a></li>} </ul> </nav> ); } // 3. 缺少权限检查 function DeleteUser() { const { userId } = useParams(); const handleDelete = async () => { await fetch(`/api/users/${userId}`, { method: 'DELETE' }); }; return <button onClick={handleDelete}>Delete User</button>; } // 4. 权限管理混乱 const roles = { admin: ['create', 'read', 'update', 'delete'], user: ['read', 'update'], guest: ['read'] }; function checkPermission(user, resource, action) { if (!user || !user.role) { return false; } const rolePermissions = roles[user.role]; return rolePermissions.includes(action); } // 5. 缺少权限状态管理 function ProtectedRoute({ children, requiredRole }) { const user = useUser(); if (!user || user.role !== requiredRole) { return <Redirect to="/login" />; } return children; }

问题

  • 权限逻辑分散在各个组件中,难以维护
  • 硬编码权限,难以扩展
  • 缺少权限检查,存在安全隐患
  • 权限管理混乱,难以理解
  • 缺少权限状态管理,用户体验差

正确的做法

权限管理设计

// 1. 权限配置 const permissions = { roles: { admin: { name: 'Admin', permissions: ['users:create', 'users:read', 'users:update', 'users:delete', 'dashboard:access'] }, user: { name: 'User', permissions: ['users:read', 'users:update', 'profile:access'] }, guest: { name: 'Guest', permissions: ['login:access', 'register:access'] } }, resources: { users: { name: 'Users', actions: ['create', 'read', 'update', 'delete'] }, dashboard: { name: 'Dashboard', actions: ['access'] }, profile: { name: 'Profile', actions: ['access', 'update'] }, login: { name: 'Login', actions: ['access'] }, register: { name: 'Register', actions: ['access'] } } }; // 2. 权限检查函数 function checkPermission(user, resource, action) { if (!user || !user.role) { return false; } const rolePermissions = permissions.roles[user.role]?.permissions || []; const permissionKey = `${resource}:${action}`; return rolePermissions.includes(permissionKey); } // 3. 角色检查函数 function checkRole(user, requiredRole) { if (!user || !user.role) { return false; } return user.role === requiredRole; } // 4. 权限管理钩子 import { useContext } from 'react'; import { AuthContext } from './AuthContext'; export function usePermission() { const { user } = useContext(AuthContext); return { hasPermission: (resource, action) => checkPermission(user, resource, action), hasRole: (role) => checkRole(user, role), user }; }

路由权限管理

// 1. 受保护的路由组件 import React from 'react'; import { Navigate, useLocation } from 'react-router-dom'; import { usePermission } from './usePermission'; export function ProtectedRoute({ children, requiredPermissions = [], requiredRole = null }) { const { hasPermission, hasRole, user } = usePermission(); const location = useLocation(); // 检查角色 if (requiredRole && !hasRole(requiredRole)) { return <Navigate to="/unauthorized" state={{ from: location }} replace />; } // 检查权限 if (requiredPermissions.length > 0) { const hasAllPermissions = requiredPermissions.every(({ resource, action }) => hasPermission(resource, action) ); if (!hasAllPermissions) { return <Navigate to="/unauthorized" state={{ from: location }} replace />; } } return children; } // 2. 路由配置 import { createBrowserRouter } from 'react-router-dom'; import ProtectedRoute from './ProtectedRoute'; import Home from './pages/Home'; import Admin from './pages/Admin'; import Profile from './pages/Profile'; import Login from './pages/Login'; import Unauthorized from './pages/Unauthorized'; const router = createBrowserRouter([ { path: '/', element: <Home /> }, { path: '/admin', element: ( <ProtectedRoute requiredRole="admin"> <Admin /> </ProtectedRoute> ) }, { path: '/profile', element: ( <ProtectedRoute requiredPermissions={[{ resource: 'profile', action: 'access' }]}> <Profile /> </ProtectedRoute> ) }, { path: '/login', element: <Login /> }, { path: '/unauthorized', element: <Unauthorized /> } ]);

UI权限管理

// 1. 权限控制组件 import React from 'react'; import { usePermission } from './usePermission'; export function PermissionGuard({ children, resource, action, fallback = null }) { const { hasPermission } = usePermission(); if (!hasPermission(resource, action)) { return fallback; } return children; } // 2. 角色控制组件 import React from 'react'; import { usePermission } from './usePermission'; export function RoleGuard({ children, role, fallback = null }) { const { hasRole } = usePermission(); if (!hasRole(role)) { return fallback; } return children; } // 3. 条件渲染 import React from 'react'; import { PermissionGuard } from './PermissionGuard'; import { RoleGuard } from './RoleGuard'; function UserActions({ userId }) { return ( <div> <PermissionGuard resource="users" action="update"> <button>Edit User</button> </PermissionGuard> <PermissionGuard resource="users" action="delete"> <button>Delete User</button> </PermissionGuard> </div> ); } function AdminMenu() { return ( <RoleGuard role="admin"> <nav> <ul> <li><a href="/admin/users">Users</a></li> <li><a href="/admin/dashboard">Dashboard</a></li> <li><a href="/admin/settings">Settings</a></li> </ul> </nav> </RoleGuard> ); }

权限状态管理

// 1. AuthContext import React, { createContext, useState, useEffect } from 'react'; export const AuthContext = createContext(); export function AuthProvider({ children }) { const [user, setUser] = useState(null); const [loading, setLoading] = useState(true); useEffect(() => { // 从 localStorage 或 API 获取用户信息 const fetchUser = async () => { try { const userData = localStorage.getItem('user'); if (userData) { setUser(JSON.parse(userData)); } } catch (error) { console.error('Error fetching user:', error); } finally { setLoading(false); } }; fetchUser(); }, []); const login = async (credentials) => { // 登录逻辑 const response = await fetch('/api/login', { method: 'POST', headers: { 'Content-Type': 'application/json' }, body: JSON.stringify(credentials) }); const userData = await response.json(); setUser(userData); localStorage.setItem('user', JSON.stringify(userData)); return userData; }; const logout = () => { setUser(null); localStorage.removeItem('user'); }; return ( <AuthContext.Provider value={{ user, loading, login, logout }}> {children} </AuthContext.Provider> ); } // 2. 权限管理钩子 import { useContext } from 'react'; import { AuthContext } from './AuthContext'; import { checkPermission, checkRole } from './permissions'; export function usePermission() { const { user } = useContext(AuthContext); return { hasPermission: (resource, action) => checkPermission(user, resource, action), hasRole: (role) => checkRole(user, role), user }; } // 3. 权限状态更新 function updateUserPermissions(userId, permissions) { // 更新用户权限 return fetch(`/api/users/${userId}/permissions`, { method: 'PUT', headers: { 'Content-Type': 'application/json' }, body: JSON.stringify({ permissions }) }) .then(response => response.json()) .then(data => { // 更新本地存储的用户信息 const user = JSON.parse(localStorage.getItem('user')); user.permissions = data.permissions; localStorage.setItem('user', JSON.stringify(user)); return data; }); }

最佳实践

// 1. 权限配置中心化 // permissions.js export const permissions = { roles: { admin: { name: 'Admin', permissions: ['users:create', 'users:read', 'users:update', 'users:delete', 'dashboard:access'] }, user: { name: 'User', permissions: ['users:read', 'users:update', 'profile:access'] }, guest: { name: 'Guest', permissions: ['login:access', 'register:access'] } } }; export function checkPermission(user, resource, action) { if (!user || !user.role) { return false; } const rolePermissions = permissions.roles[user.role]?.permissions || []; const permissionKey = `${resource}:${action}`; return rolePermissions.includes(permissionKey); } // 2. 权限管理组件化 // components/PermissionGuard.jsx import React from 'react'; import { usePermission } from '../hooks/usePermission'; export function PermissionGuard({ children, resource, action, fallback = null }) { const { hasPermission } = usePermission(); if (!hasPermission(resource, action)) { return fallback; } return children; } // 3. 路由权限统一管理 // routes.js import { createBrowserRouter } from 'react-router-dom'; import ProtectedRoute from './components/ProtectedRoute'; import Home from './pages/Home'; import Admin from './pages/Admin'; import Profile from './pages/Profile'; const router = createBrowserRouter([ { path: '/', element: <Home /> }, { path: '/admin', element: ( <ProtectedRoute requiredRole="admin"> <Admin /> </ProtectedRoute> ) }, { path: '/profile', element: ( <ProtectedRoute requiredPermissions={[{ resource: 'profile', action: 'access' }]}> <Profile /> </ProtectedRoute> ) } ]); // 4. 权限检查工具函数 // utils/permission.js export function canAccessRoute(user, route) { if (!route.requiredRole && !route.requiredPermissions) { return true; } if (route.requiredRole) { return user?.role === route.requiredRole; } if (route.requiredPermissions) { return route.requiredPermissions.every(({ resource, action }) => checkPermission(user, resource, action) ); } return false; } // 5. 权限状态管理 // hooks/usePermission.js import { useContext } from 'react'; import { AuthContext } from '../contexts/AuthContext'; import { checkPermission, checkRole } from '../utils/permissions'; export function usePermission() { const { user } = useContext(AuthContext); return { hasPermission: (resource, action) => checkPermission(user, resource, action), hasRole: (role) => checkRole(user, role), user }; }

毒舌点评

权限管理确实很重要,但我见过太多开发者滥用这个特性,导致应用变得过于复杂。

想象一下,当你为了实现权限管理,创建了大量的组件和钩子,结果导致代码量增加了几倍,这真的值得吗?

还有那些过度使用权限管理的开发者,为了控制每个按钮的权限,而忽略了用户体验,结果导致界面变得支离破碎。

所以,在实现权限管理时,一定要把握好度。不要为了权限管理而权限管理,要根据实际需求来决定权限管理的范围。

当然,对于需要严格权限控制的应用来说,完善的权限管理是必要的。但对于简单的应用,过度的权限管理反而会增加开发成本和维护难度。

最后,记住一句话:权限管理的目的是为了保护用户数据和提高用户体验,而不是为了炫技。如果你的权限管理实现导致用户体验变得更差,那你就失败了。

Read more

RetinaFace+CurricularFace实战:基于预配置镜像的安防系统原型开发

RetinaFace+CurricularFace实战:基于预配置镜像的安防系统原型开发 你是否也遇到过这样的情况:公司要快速做一个人脸识别系统原型,客户下周就要看演示,但团队还在为环境配置、模型下载、依赖冲突焦头烂额?别急——今天我来带你用一个预配置好的AI镜像,5分钟内把RetinaFace + CurricularFace这套高精度人脸检测与识别组合跑起来,直接跳过繁琐搭建过程,专注在业务逻辑和效果调优上。 我们这次面对的是一家安防领域的初创公司。他们的核心诉求很明确:不做底层基建,只求快速验证产品可行性。他们需要的是一个能“看得清、认得准”的人脸系统原型,支持实时视频流输入、人脸定位、特征提取和身份比对功能。而我们要做的,就是借助ZEEKLOG星图平台提供的视觉AI专用镜像,一键部署、快速调试、高效展示。 这个方案的核心是两个明星级开源模型: - RetinaFace:负责精准地“找到人”,不仅能框出人脸位置,还能同时输出5个关键点(双眼、鼻尖、嘴角),为后续对齐打下基础。 - CurricularFace:负责“认出是谁”,它是目前公开领域中性能顶尖的人脸识别模型之一,

4090显卡实测:圣光艺苑AI绘画工具生成古典名画效果惊艳展示

4090显卡实测:圣光艺苑AI绘画工具生成古典名画效果惊艳展示 1. 开篇:当4090遇见文艺复兴,算力开始呼吸 你有没有试过,在深夜调好一杯热茶,打开电脑,输入一句“但丁在佛罗伦萨桥头回望贝雅特丽齐”,然后静静等待——不是等代码编译,而是等一幅画在亚麻画布上缓缓浮现? 这不是幻想。在一块NVIDIA RTX 4090显卡上,圣光艺苑(Atelier of Sacred Light) 正以一种前所未有的方式,让AI绘画回归艺术本源:它不谈参数、不列指标、不堆算力数字,而是用梵高的星空蓝做UI主色,用矿物颜料的颗粒感模拟笔触,把SDXL模型藏进一座19世纪画室的光影里。 我们实测了这款专为MusePublic大模型打造的沉浸式创作镜像。全程使用单卡4090(24GB显存),未启用任何云服务或远程推理。没有一行命令行,没有一次报错,只有三次点击、一段诗意描述,和六幅令人屏息的古典风格真迹。 这不是又一个“AI画图工具”的测评,而是一次对AI与艺术关系的重新确认:当技术退至幕后,当界面成为画框,当提示词变成“绘意”,当随机数被称作“造化种子”
OpenClaw 是一个开源的、面向具身智能(Embodied AI)与机器人操作研究的多模态大模型框架

OpenClaw 是一个开源的、面向具身智能(Embodied AI)与机器人操作研究的多模态大模型框架

OpenClaw 是一个开源的、面向具身智能(Embodied AI)与机器人操作研究的多模态大模型框架,由上海人工智能实验室(Shanghai AI Lab)联合多家机构于2024年发布。它聚焦于“视觉-语言-动作”(Vision-Language-Action, VLA)联合建模,旨在让AI不仅能理解环境和指令,还能生成可执行的、细粒度的机器人控制动作序列(如关节扭矩、末端位姿、抓取姿态等),支持真实/仿真双环境部署。 核心特点包括: * ✅ 多模态对齐:统一编码图像、语言指令、机器人本体状态(如关节角度、力觉反馈); * ✅ 动作生成范式:采用“tokenized action”设计,将连续动作离散化为可学习的action tokens,便于大模型端到端生成; * ✅ 开源生态:提供预训练模型权重、仿真环境(基于ManiSkill2)、真实机械臂适配接口(如UR5e + Robotiq 2F-85)、数据集(OpenClaw-Bench)及训练/

【无人机控制】基于S函数和Simulink的6自由度无人机飞行模拟与控制附matlab代码

✅作者简介:热爱科研的Matlab仿真开发者,擅长数据处理、建模仿真、程序设计、完整代码获取、论文复现及科研仿真。 🍎 往期回顾关注个人主页:Matlab科研工作室  👇 关注我领取海量matlab电子书和数学建模资料  🍊个人信条:格物致知,完整Matlab代码获取及仿真咨询内容私信。 🔥 内容介绍 在科技飞速发展的当下,无人机技术凭借其独特优势,在众多领域得到了广泛应用。从农业植保、物流配送,到影视拍摄、测绘勘探,无人机的身影无处不在,为各行业带来了全新的发展机遇与变革。其灵活、高效、低成本的特点,使其成为解决许多复杂任务的得力工具。 然而,无人机飞行控制绝非易事。在三维空间中,无人机具有 6 个自由度,包括 3 个平移自由度(沿 x、y、z 轴方向的移动)和 3 个旋转自由度(滚转、俯仰、偏航),其飞行过程涉及复杂的空气动力学、动力学和运动学原理。而且,