Har*_*wal 14 user-permissions reactjs role-based-access-control react-redux
我有一个包含多个组件的 React-Redux-KoaJs 应用程序。我的用户角色也很少。现在我想只向特定角色显示几个按钮、表格和 div,而对其他人隐藏它们。请记住,我不想隐藏整个组件,而只是隐藏组件的一部分。谁能帮我?提前致谢。
And*_*nko 22
您可以按照@Eudald Arranz 的建议检查每个组件中的角色或权限。或者您可以编写一个组件来检查您的权限。例如:
import PropTypes from 'prop-types';
import { connect } from 'react-redux';
const ShowForPermissionComponent = (props) => {
const couldShow = props.userPermissions.includes(props.permission);
return couldShow ? props.children : null;
};
ShowForPermissionComponent.propTypes = {
permission: PropTypes.string.isRequired,
userPermissions: PropTypes.array.isRequired
};
const mapStateToProps = state => ({
userPermissions: state.user.permission //<--- here you will get permissions for your user from Redux store
});
export const ShowForPermission = connect(mapStateToProps)(ShowForPermissionComponent);
然后你可以像这样使用这个组件:
import React from 'react';
import { ShowForPermission } from './ShowForPermission';
cons MyComponent = props => {
return (
<div>
<ShowForPermission permission="DELETE">
<button>Delete</button>
</ShowForPermission>
</div>
);
}
小智 13
小心点。如果某些角色的操作很重要,您应该始终在后端验证它们。如果没有适当的验证,很容易在前端更改存储在 redux 中的值,从而允许恶意使用角色。
如果你想继续一个可能的方法是这样的:
function mapStateToProps(state) {
const { user_roles } = state;
return { user_roles };
}
export default connect(mapStateToProps)(YourComponent);
render() {
return (
<div>
{this.props.user_roles.role === "YOUR_ROLE_TO_CHECK" && <ActionsComponent />}
</div>
);
}
这将ActionsComponent仅在角色等于所需角色时呈现。
同样,始终在您的后端验证角色!
解决这个问题的最佳实践是,简单地防止应用程序生成不必要的路线,而不是检查每条路线上的当前用户角色,最好只生成用户有权访问的路线。
所以Normal reouting是: 控制整个视图:
const App = () => (
<BrowserRouter history={history}>
<Switch>
<Route path="/Account" component={PrivateAccount} />
<Route path="/Home" component={Home} />
</Switch>
</BrowserRouter>
export default App;
);基于用户角色的路由:
import { connect } from 'react-redux'
// other imports ...
const App = () => (
<BrowserRouter history={history}>
<Switch>
{
this.props.currentUser.role === 'admin' ?
<>
<Route path="/Account" exact component={PrivateAccount} />
<Route path="/Home" exact component={Home} />
</>
:
<Route path="/Home" exact component={Home} />
}
<Route component={fourOFourErroPage} />
</Switch>
</BrowserRouter>
const mapStateToProps = (state) => {
return {
currentUser: state.currentUser,
}
}
export default connect(mapStateToProps)(App);因此,具有管理员角色的用户将有权访问帐户页面,而其他用户只能访问主页!如果任何用户尝试访问另一条路由,则会出现 404 页面错误。我希望我已经给出了一个有用的解决方案。
有关此方法的高级详细信息,您可以在 github 上查看此存储库:Role-based-access-control with react
只隐藏一个展示组件:
{this.props.currentUser.role === 'admin' && <DeleteUser id={this.props.userId} /> }因此,我发现有一种替代且简单的方法可以在前端实现基于角色的访问(RBAC)。
在您的 redux 存储状态中,创建一个名为 Permissions 的对象(或者您可以将其命名为任何您喜欢的名称),如下所示:
const InitialState = {
permissions: {}
};
然后在您的登录操作中,设置您想要提供的权限,如下所示:
InitialState['permissions'] ={
canViewProfile: (role!=='visitor'),
canDeleteUser: (role === 'coordinator' || role === 'admin')
// Add more permissions as you like
}
在第一个权限中,您说如果您不是访客,则可以查看个人资料。在第二个权限中,您说只有当您是管理员或协调员时才能删除用户。并且这些变量将根据登录用户的角色保持 true 或 false。因此,在您的商店状态中,您将拥有一个权限对象,其中包含代表权限的键,它们的值将根据您的角色决定。
然后在您的组件中使用存储状态来获取权限对象。您可以使用 connect 来完成此操作,例如:
const mapStateToProps = (state) => {
permissions : state.permissions
}
然后将这些道具连接到您的组件,例如:
export default connect(mapStateToProps,null)(ComponentName);
然后,您可以在组件内的任何要有条件显示的特定元素上使用这些道具,如下所示:
{(this.props.permissions.canDeleteUser) && <button onClick={this.deleteUser}>Delete User</button>}
上面的代码将确保仅当您有权删除用户时才会呈现删除用户按钮,即在您的存储状态权限对象中,canDeleteUser 的值为 true。
就是这样,您已经应用了基于角色的访问权限。您可以使用这种方法,因为它易于扩展和可变,因为您将在一个地方根据角色拥有所有权限。
希望这可以帮助!如果我错过了什么,请在评论中帮助我。:-)
| 归档时间: |
|
| 查看次数: |
22945 次 |
| 最近记录: |