摘要:本文信息本文創建于文章更名為一個簡單的用戶登錄與訪問權限控制設計前述系統用戶分為管理員用戶普通用戶管理員用戶有且唯一系統初始狀態不存咋任何用戶首次使用需創建用戶前端界面顯示控制用戶管理模塊根據本地判斷是否為管理員用戶顯示不顯示用戶管理模塊導
本文信息
本文創建于2018/03/22
2018/10/30 文章更名為 一個簡單的用戶登錄與訪問權限控制設計
前述
系統用戶分為管理員用戶�����、普通用戶
管理員用戶有且唯一
系統初始狀態不存咋任何用戶,首次使用需創建用戶(admin)
前端界面顯示控制
用戶管理模塊
根據本地credentials判斷是否為管理員用戶 => 顯示/不顯示用戶管理模塊
導航欄模塊
功能頁面顯示導航欄;welcome/login不顯示導航欄
動態控制導航欄的顯示與隱藏
前端本地控制(進入頁面前)-- 路由守衛
welcome/login頁面
是否本地存在credentials(包含token及用戶信息)(是否屬于已登錄狀態) => 跳轉至首頁/Next
發送請求至后端 => 后端確認是否首次使用系統(系統有/無任何用戶)=> welcome/login頁面
功能頁面
是否本地存在credentials(是否屬于已登錄狀態) => 進入功能頁面/跳轉至login
Admin頁面
是否本地存在credentials(是否屬于已登錄狀態) => Next/跳轉至login
本地credentials是否顯示用戶為管理員類型 => 進入Admin頁面/跳轉至404頁面
前端向后端請求驗證(進入頁面后)-- http攔截器
請求發送處理
每個heep請求在請求頭帶上本地credentials中的token
請求響應處理
返回401狀態碼 => 刪除本地credentials(如果有),跳轉至login
否則���,不做特殊處理
后端登錄與鑒權
登錄邏輯
后端接收到前端發送的用戶信息
將前端發送的用戶信息(密碼需在后端做hash處理)與數據庫用戶信息比對
若匹配,Next。若不匹配����,返回incorrect/權限到期
緩存是否存在用戶登錄code(若不存在則生成隨機code并存入緩存)
簽入token,將用戶信息(id,type等)�����、code寫入token的payload,并設定token有效期
返回用戶信息及token至前端
用戶身份一般鑒定
token解碼失敗:包括無token�����、token過期����、token的payload不包含需要的信息 => 返回401
token解碼 => 得到用戶信息(包括id、code等) => 對比code與緩存code是否一致 => Next/返回401
根據token得到的用戶信息判斷是否為管理員 => 鑒定成功/Next
非管理員檢測用戶是否已被刪除(用戶刪除只更改數據庫狀態而非數據庫刪除) => 返回401/鑒定成功
創建用戶鑒權
創建的是系統第一個用戶
后端接收到前端發送的創建的用戶信息 => 請求頭是否沒有攜帶token或是否創建的用戶類型為管理員 => Next/返回401
判斷是否為首次使用系統 => 創建用戶/返回401
創建的不是系統第一個用戶
后端接收到前端發送的創建的用戶信息 => 請求頭攜帶token => 判斷token本身是否過期 =>返回401/Next
解碼token => 解碼后拿到用戶信息 => 用戶是否為管理員且與緩存token比對 => Next/返回401
創建用戶 => 創建用戶是否成功 => 返回success/Next
是否已存在同名用戶 => 返回已存在同名用戶提示/返回fail
修改用戶信息鑒權
用戶身份一般鑒定
若鑒定用戶為管理員,鑒權成功;否則,Next
鑒定需要修改的用戶信息是否為用戶自己 => Next/返回401
鑒定舊密碼是否正確 => 鑒權成功/返回舊密碼incorrect
刪除用戶鑒權
用戶身份一般鑒定
鑒定用戶為管理員 => 鑒權成功/Next
Tips
修改用戶密碼/刪除用戶成功后,刪除對應用戶的緩存里的登錄code
why not cookie => 無狀態��、防xss攻擊���、api多端共用
如何跨域共享用戶登錄狀態
已經使用了jwt,為何還需loggedin-code => tips1即為原因
包含第三方登錄的登錄模塊設計(OAuth協議)
文章版權歸作者所有�,未經允許請勿轉載,若此文章存在違規行為����,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/93612.html
