一.为什么后端要进行访问权限控制?
比如我们已经在前端使用Vue-router通过sessionStorage的token权限控制,防止
用户只有在登录的情况下才能访问某一个路由,但是我们的源代码是可以被查看的,
如果被别人修改token那便可以访问限制的网页,是及其不安全的。所以我们真正的权
限控制应该在后端进行。
二.如何进行后端权限控制
使用egg-中心间
下面进行获得全部用户的信息的权限限制
用户获取接口为:/users
1.中间件的配置
config/config.default.ts
// add your egg config in here
config.middleware = [ 'auth' ];
config.auth = {
authUrls: [
'/users',//我们需要限制的用户信息获取接口
],
};
2.创建中心间
在app目录下创建middleware/auth.ts
// eslint-disable-next-line @typescript-eslint/no-var-requires
const jwt = require('jsonwebtoken');
module.exports = (options, app) => {
return async function(ctx, next) {
// 1.获取需要权限控制的路由地址
const authUrls = options.authUrls;
// 2.判断当前请求的路由地址是否需要权限控制
if (authUrls.includes(ctx.url)) {
// 需要权限控制
// 3.获取客户端传递过来的JWT令牌
const token = ctx.get('authorization');
// 4.判断客户端有没有传递JWT令牌
if (token) {
try {
await jwt.verify(token, app.config.keys);
await next();
} catch (e) {
ctx.error(400, '没有权限');
}
} else {
ctx.error(400, '没有权限');
}
} else {
// 不需要权限控制
next();
}
};
};
