Archery前端路由管理:基于权限的动态导航实现
项目地址: https://gitcode.com/gh_mirrors/ar/Archery 引言:传统路由管理的痛点与解决方案
在中大型数据库管理系统中,不同角色用户需要访问不同功能模块。传统静态路由配置存在三大痛点:权限控制分散在各页面导致代码冗余、菜单展示与权限逻辑耦合、用户权限变更需手动刷新页面。Archery作为专业的MySQL数据库管理平台,采用基于角色的动态导航方案,通过后端权限计算与前端菜单动态渲染的协同机制,实现了高效、安全的路由权限控制。
本文将从实现原理、核心代码、最佳实践三个维度,详解Archery如何通过"后端权限过滤-前端动态渲染-页面权限校验"的三层架构,构建安全灵活的路由管理系统。
一、路由权限控制的整体架构
Archery采用前后端分离的权限控制模型,权限判断逻辑集中在后端,前端负责基于权限数据动态构建导航菜单与页面访问控制。
1.1 权限控制流程图
1.2 权限数据结构
后端返回的权限数据包含菜单ID、名称、URL、图标及子菜单等关键信息:
{
"menu_id": 1,
"name": "SQL审核",
"url": "#",
"icon": "fa-check",
"children": [
{
"menu_id": 101,
"name": "SQL上线",
"url": "/sqlworkflow/",
"icon": "fa-database",
"permission_required": "sql.workflow.create"
},
// 更多子菜单...
]
}
二、后端权限过滤机制
Archery后端基于Django权限系统实现细粒度权限控制,通过中间件和视图函数协同生成用户可访问的菜单数据。
2.1 权限判断流程
- 用户登录时,系统根据用户角色计算权限集合
- 访问菜单接口时,后端执行以下过滤逻辑:
- 遍历所有菜单资源
- 检查用户是否拥有菜单访问权限
- 过滤掉无权限的菜单项
- 生成层级化的菜单数据结构
2.2 核心代码实现
# 后端权限过滤核心代码
def get_user_menus(request):
# 获取用户所有权限
user_permissions = get_user_permissions(request.user)
# 获取所有菜单
all_menus = Menu.objects.filter(is_active=True).order_by('order')
# 递归过滤有权限的菜单
return filter_menus_by_permission(all_menus, user_permissions)
def filter_menus_by_permission(menus, permissions):
authorized_menus = []
for menu in menus:
# 检查菜单是否需要权限以及用户是否有权限
if menu.permission_required and menu.permission_required not in permissions:
continue
# 处理子菜单
children = filter_menus_by_permission(menu.children.all(), permissions)
menu.children = children
authorized_menus.append(menu)
return authorized_menus
三、前端动态菜单渲染
前端通过JavaScript动态构建导航菜单,根据后端返回的权限数据渲染不同用户可见的菜单项。
3.1 菜单渲染实现
Archery在base.html中通过模板引擎和JavaScript结合的方式动态生成菜单:
<!-- 导航菜单容器 -->
<div class="navbar-default sidebar" role="navigation">
<div class="sidebar-nav navbar-collapse">
<ul class="nav" id="side-menu">
<!-- 菜单将通过JS动态插入 -->
</ul>
</div>
</div>
<script>
// 动态渲染菜单函数
function renderMenu(menuData, containerId) {
const container = document.getElementById(containerId);
let menuHtml = '';
menuData.forEach(menu => {
// 构建菜单项HTML
menuHtml += `<li>`;
// 判断是否有子菜单
if (menu.children && menu.children.length > 0) {
// 有子菜单的情况
menuHtml += `
<a href="#">
<i class="fa ${menu.icon} fa-fw"></i> ${menu.name}
<span class="fa arrow"></span>
</a>
<ul class="nav nav-second-level">
`;
// 递归渲染子菜单
menu.children.forEach(child => {
menuHtml += `
<li>
<a href="${child.url}">${child.name}</a>
</li>
`;
});
menuHtml += `</ul>`;
} else {
// 无子菜单的情况
menuHtml += `
<a href="${menu.url}">
<i class="fa ${menu.icon} fa-fw"></i> ${menu.name}
</a>
`;
}
menuHtml += `</li>`;
});
container.innerHTML = menuHtml;
// 初始化菜单折叠功能
$('#side-menu').metisMenu();
}
// 页面加载时获取并渲染菜单
$(document).ready(function() {
$.get('/api/menus/', function(data) {
renderMenu(data, 'side-menu');
});
});
</script>
3.2 菜单组件化设计
Archery前端采用模块化方式组织菜单代码,主要包含三个部分:
- 菜单渲染模块:负责将权限数据转换为HTML结构
- 菜单交互模块:处理菜单展开/折叠、选中状态等交互
- 权限缓存模块:缓存用户权限数据减少重复请求
// 菜单交互模块关键代码
$(document).on('click', '.sidebar-nav a', function(e) {
// 移除所有菜单项的活跃状态
$('.sidebar-nav li').removeClass('active');
// 为当前点击项添加活跃状态
$(this).closest('li').addClass('active');
// 如果有子菜单则切换折叠状态
if ($(this).next().hasClass('fa-arrow')) {
e.preventDefault();
$(this).parent().toggleClass('active');
}
});
四、前端页面权限控制
除了菜单级别的权限控制,Archery还实现了页面级和操作级的细粒度权限控制。
4.1 页面访问控制
通过前端路由拦截实现页面级权限控制,在页面加载前检查用户是否拥有访问权限:
// 页面权限检查代码
function checkPagePermission(url) {
// 从缓存中获取用户权限菜单
const userMenus = JSON.parse(localStorage.getItem('userMenus') || '[]');
// 递归检查URL是否在权限菜单中
return hasPermission(userMenus, url);
}
function hasPermission(menus, url) {
for (const menu of menus) {
if (menu.url === url) return true;
if (menu.children && menu.children.length > 0) {
if (hasPermission(menu.children, url)) return true;
}
}
return false;
}
// 页面加载时执行权限检查
$(document).ready(function() {
const currentUrl = window.location.pathname;
if (!checkPagePermission(currentUrl)) {
showPermissionDenied();
}
});
// 无权限提示
function showPermissionDenied() {
$('body').html(`
<div class="alert alert-danger text-center" style="margin-top: 50px;">
<h1>403 权限不足</h1>
<p>您没有访问该页面的权限,请联系管理员</p>
<button class="btn btn-primary" onclick="window.history.back()">返回上一页</button>
</div>
`);
}
4.2 操作按钮权限控制
页面内的功能按钮根据用户权限动态显示或隐藏:
// 操作权限控制函数
function renderOperationButtons(containerId, operations) {
const container = document.getElementById(containerId);
let html = '';
operations.forEach(op => {
// 检查用户是否有该操作权限
if (hasOperationPermission(op.permission)) {
html += `
<button id="${op.id}" class="btn ${op.class}"
onclick="${op.onclick}">
<i class="fa ${op.icon}"></i> ${op.name}
</button>
`;
}
});
container.innerHTML = html;
}
// 使用示例
renderOperationButtons('sql-operation-buttons', [
{
id: 'btn-execute',
name: '执行SQL',
class: 'btn-success',
icon: 'fa-play',
onclick: 'executeSql()',
permission: 'sql.query.execute'
},
// 更多操作按钮...
]);
4.3 AJAX请求权限控制
对所有AJAX请求添加权限检查拦截器,防止未授权的API调用:
// AJAX请求权限拦截
$.ajaxSetup({
beforeSend: function(xhr, settings) {
// 获取当前请求的URL
const requestUrl = settings.url;
// 检查是否有权限调用该API
if (!checkApiPermission(requestUrl)) {
xhr.abort();
alert("权限错误,您没有权限执行此操作!");
return false;
}
},
error: function(xhr) {
if (xhr.status === 403) {
alert("权限错误,您没有权限查看该数据!");
}
}
});
五、权限动态更新机制
当用户权限发生变化时,Archery能实时更新前端菜单而无需重新登录,提升用户体验。
5.1 权限更新流程图
5.2 实现代码
// 权限更新核心代码
function refreshPermissions() {
$.get('/api/refresh_permissions/', function(data) {
if (data.success) {
// 更新本地缓存的权限数据
localStorage.setItem('userMenus', JSON.stringify(data.menus));
localStorage.setItem('permissions', JSON.stringify(data.permissions));
// 重新渲染菜单
renderMenu(data.menus, 'side-menu');
// 提示用户权限已更新
alert('权限已更新,请刷新页面使更改生效');
}
});
}
六、最佳实践与性能优化
6.1 权限缓存策略
- 前端缓存:将权限数据存储在localStorage中,减少重复请求
- 缓存失效机制:设置合理的缓存过期时间,确保权限变更能及时生效
- 按需加载:菜单数据采用层级加载,只加载当前展开层级的子菜单
// 权限缓存模块代码
const PermissionCache = {
// 缓存权限数据
setPermissions: function(permissions) {
localStorage.setItem('permissions', JSON.stringify(permissions));
// 设置缓存时间戳
localStorage.setItem('permissionTimestamp', Date.now().toString());
},
// 获取缓存的权限数据
getPermissions: function() {
const timestamp = localStorage.getItem('permissionTimestamp');
// 检查缓存是否过期(30分钟)
if (timestamp && (Date.now() - parseInt(timestamp) < 30 * 60 * 1000)) {
return JSON.parse(localStorage.getItem('permissions') || '[]');
}
return null;
},
// 清除缓存
clearCache: function() {
localStorage.removeItem('permissions');
localStorage.removeItem('userMenus');
localStorage.removeItem('permissionTimestamp');
}
};
6.2 权限控制的性能优化
- 权限计算移至后端:减少前端计算量,提升页面加载速度
- 菜单数据扁平化:将树形菜单结构转换为扁平化结构,加快权限查找
- 事件委托优化:使用事件委托减少事件监听器数量
// 扁平化菜单数据示例
function flattenMenus(menus) {
let flatMenus = [];
function traverse(menuList) {
menuList.forEach(menu => {
flatMenus.push({
id: menu.menu_id,
name: menu.name,
url: menu.url,
permission: menu.permission_required
});
if (menu.children && menu.children.length > 0) {
traverse(menu.children);
}
});
}
traverse(menus);
return flatMenus;
}
// 使用扁平化菜单快速查找权限
function quickCheckPermission(url) {
const flatMenus = JSON.parse(localStorage.getItem('flatMenus') || '[]');
return flatMenus.some(menu => menu.url === url);
}
七、安全最佳实践
7.1 权限控制的安全原则
- 最小权限原则:只授予用户完成工作所需的最小权限
- 权限分层原则:不同层级权限严格分离,防止越权访问
- 多重校验原则:前后端同时实施权限检查,互相备份
- 权限审计原则:记录所有权限变更和敏感操作
7.2 常见安全问题防范
| 安全风险 | 防范措施 |
|---|---|
| URL伪造 | 后端对每个请求进行权限重校验 |
| XSS攻击 | 对用户输入进行过滤,使用安全的DOM操作方法 |
| CSRF攻击 | 实现CSRF令牌验证机制 |
| 权限绕过 | 前端隐藏菜单同时后端严格校验权限 |
7.3 权限日志审计
Archery记录所有重要的权限变更和敏感操作,便于安全审计和问题追溯:
// 权限操作日志记录
function logPermissionAction(action, target, result) {
$.post('/api/log_permission/', {
action: action,
target: target,
result: result,
timestamp: new Date().toISOString(),
ip_address: returnCitySN["cip"]
});
}
// 使用示例
logPermissionAction('menu_access', '/sqlworkflow/', 'success');
logPermissionAction('sql_execute', 'SELECT * FROM users', 'fail');
八、总结与展望
Archery的路由权限管理系统通过前后端协同的方式,实现了从菜单到操作的全方位权限控制。核心优势包括:
- 集中式权限管理:权限逻辑集中处理,便于维护
- 细粒度权限控制:支持菜单、页面、操作三级权限控制
- 高性能实现:通过权限缓存和扁平化处理提升系统响应速度
- 良好用户体验:权限动态更新无需重新登录
未来,Archery计划引入基于Vue Router的SPA架构,进一步提升路由管理的灵活性和性能。主要改进方向包括:
- 实现真正的前端路由系统,减少页面刷新
- 引入Vuex管理权限状态,优化权限数据流
- 开发可视化的权限配置界面,简化权限管理
- 支持权限动态配置与实时生效
通过不断优化路由权限管理系统,Archery将为数据库管理人员提供更安全、高效、便捷的操作体验,助力企业构建更可靠的数据库管理平台。
附录:核心代码片段
A. 菜单渲染核心函数
function renderMenu(menuData, containerId) {
const container = document.getElementById(containerId);
container.innerHTML = generateMenuHtml(menuData);
// 初始化菜单交互
initMenuInteraction();
// 高亮当前页面菜单
highlightCurrentMenu();
}
function generateMenuHtml(menus) {
let html = '';
menus.forEach(menu => {
html += `<li class="nav-item">`;
if (menu.children && menu.children.length > 0) {
// 有子菜单的菜单项
html += `
<a href="${menu.url || '#'}" class="nav-link">
<i class="fa ${menu.icon} fa-fw"></i> ${menu.name}
<span class="fa arrow"></span>
</a>
<ul class="nav nav-second-level">
${generateMenuHtml(menu.children)}
</ul>
`;
} else {
// 无子菜单的菜单项
html += `
<a href="${menu.url}" class="nav-link">
<i class="fa ${menu.icon} fa-fw"></i> ${menu.name}
</a>
`;
}
html += `</li>`;
});
return html;
}
B. 权限检查工具函数
// 权限检查工具类
const PermissionUtil = {
// 检查是否有权限访问URL
hasUrlPermission: function(url) {
const userMenus = JSON.parse(localStorage.getItem('userMenus') || '[]');
return this._searchMenu(userMenus, url);
},
// 检查是否有操作权限
hasOperationPermission: function(permissionCode) {
const permissions = JSON.parse(localStorage.getItem('permissions') || '[]');
return permissions.includes(permissionCode);
},
// 递归搜索菜单
_searchMenu: function(menus, url) {
for (const menu of menus) {
if (menu.url === url) return true;
if (menu.children && menu.children.length > 0) {
if (this._searchMenu(menu.children, url)) return true;
}
}
return false;
},
// 获取权限对应的菜单URL
getUrlByPermission: function(permissionCode) {
const userMenus = JSON.parse(localStorage.getItem('userMenus') || '[]');
return this._findMenuByPermission(userMenus, permissionCode);
},
// 根据权限码查找菜单
_findMenuByPermission: function(menus, permissionCode) {
for (const menu of menus) {
if (menu.permission_required === permissionCode) return menu.url;
if (menu.children && menu.children.length > 0) {
const result = this._findMenuByPermission(menu.children, permissionCode);
if (result) return result;
}
}
return null;
}
};
通过本文的详细解析,读者可以深入理解Archery路由权限管理的实现原理和最佳实践,为构建安全、灵活的企业级应用提供参考。无论是开发新的权限系统,还是优化现有系统,Archery的权限设计思路都具有重要的借鉴价值。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
