个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我想知道人们使用什么策略来根据客户端应用程序中的授权来过滤 UI 元素。
基本上,我有一个 API 可以为数据和业务逻辑提供安全性(通过用户和 Angular 色身份验证),但在 UI 方面,在运行时简单地隐藏选项(甚至路由)似乎很奇怪。
例如
url/api/staff api 端点只能由 hr-managers Angular 色访问,但 Web 应用程序在 url/rh/staff 中有一个页面(在导航中包含指向该页面的链接)。
我可以根据当前用户过滤导航,甚至状态转换。但这是客户端代码,最终任何人都可以搞乱它。
有更好的方法吗?
我使用 Node/Express 作为 API,使用 Angular 作为 UI,但我对通用策略更感兴趣,而不是这些框架的具体解决方法。
最佳答案
由于信息隐藏并不重要(服务器提供最终的安全性),因此您只需要一种简单的以演示为中心的方法来隐藏指向禁区的链接,以方便最终用户。 CSS 非常适合这一点,而且它比试图用 JS 隐藏一长串的部分或与任何给定的框架很好地配合要简单得多; CSS 对于基本的显示/隐藏效果几乎没有兼容性问题。
我需要在工作中完成完全相同的任务,这是我实现的基本策略,而且效果很好;我非常喜欢它,可以分享和推荐。
<html>或<body> 。示例:<html class=user>或<body class=admin> <a href=/nogo/ class=admin>CP</a> CSS:
html .admin { display: none; }
html.admin .admin { display: inherit; }
或使用数据属性:
html .admin { display: none; }
html[data-role='admin'] .admin { display: inherit; }
您还可以创建一个层,并使用更多的 CSS 来允许更具体的访问,例如允许管理员查看所有内容,经理查看用户+经理部分:
html .admin,
html .manager{ display: none; }
html.manager .manager,
html.admin .manager,
html.admin .admin, { display: inherit; }
将属性注入(inject)并将CSS规则添加到网站的样式后,您所需要做的就是将apropos attribs/classes添加到您想要控制的标签中。这意味着几乎没有冲突,它无需 JS 即可工作,在页面显示之前预先隐藏(无 FOUC),并且无需在网站内部工作中进行准备类(class)即可轻松更改。
关于javascript - 在客户端应用程序中按 Angular 色过滤 UI 的策略,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28764901/
24
4
0
我在业余时间慢慢学习javascript,但还没有完全掌握这一点。但一位 friend 要求我制作一个简单的机器人,它可以向每个加入服务器的新用户发送私信,询问他们希望用户名的颜色是什么,并将他们添加
抱歉,标题令人困惑,我会澄清一下。我正在尝试让机器人检查用户是否在他们的 quick.db 库存中具有特定 Angular 色,如果有,它就会装备该 Angular 色。我遇到的问题是,即使在 lis
所以我想做一个小的用户配置文件,但我希望它打印出用户 Angular 色。可能吗? case "Profile": var embed = new Discord.RichEmbed()
我有一个表单,其中包含三个不同的 data-role="page" 和三个不同的 data-url="abc"。 根据某些条件,单击第一页上的按钮后,我将在第二页上渲染/显示某些字段。 现在我正在获取
我有一行不和谐机器人的代码,用于删除特定的命名 Angular 色并添加一个名为“静音”的 Angular 色一段特定的时间。基本上,服务器只能有 3 个 Angular 色,一个可以发出命令,一个具
我想在编写函数时在编辑页面上显示文本的标题。 应用程序.html {{ text }} 应用程序.ts getRoleEdit
如果 s 是一个系列,我在运行以下命令时会收到一条错误消息: s.plot(style='k--', color='b') 错误消息说 [b] 不是可识别的颜色。 我正在使用 Pandas 0.11。
这是一个 fiddle http://jsfiddle.net/aLr2yx8d/ $('#inputButton').click(function() { var value = $(
所以,基本上。我想做的是创建一个单词解密器,您可以在其中输入一个打乱的单词并对其进行解密。它工作得很好,尽管我单独检查每个字符,但由于某种原因,额外的字符漏掉了。 我输入“olehl (hello)”
在尝试console.log字符串时,我遇到了一个相当烦人的问题。我将字符串 2^{\\frac{1}{2}}x=1 存储在 Node.js 数据库中,但输出时给出 2^{rac{1}{2 }}x=1
我想创建一个命令来查找用户在服务器中拥有的最高 Angular 色。 我已经知道Python中有一个discord.user.top_role。是否有相当于该功能的 Javascript? 我尝试将此
我对 Node.js 相当陌生,目前正在开发一个 Discord 机器人。我试图让我的机器人根据用户传递的参数分配服务器 Angular 色。我知道我可以找到特定 Angular 色的名称,然后根据他
我一直在尝试创建一个简单的命令,为在聊天中说话的人提供一个 Angular 色,假设他们说了一句脏话,它会给 message.author 静音 Angular 色。 client.on("messa
如何使用expressjs和passport在nodejs中实现基于 Angular 色的授权/访问控制以及如何完美设计 Angular 色中间件? 我有两种登录类型管理员和用户 以管理员和用户的名义
我在这里有一个键盘可访问的自定义下拉组件:https://codesandbox.io/s/31440w1vo6 但是,当我打开 NVDA 或 JAWS 时,激活“选择等位基因”后焦点不会再移动到选项
我正在为我的机器人创建 Angular 色分配命令,因此用户可以输入 h.addrole @user @role 我正在尝试执行此命令,如果用户拥有该 Angular 色,它会输出说 此用户已经拥有此
我想从数据库中获取用户的 Angular 色(组织或个人)。我有一个名为“Users”的表,另一个名为“Role_users”的表,其中有 user_id 和 role_id(1 代表个人,100 代
我有一个在 Vuejs 项目中导出一些函数的文件,我还需要在外部环境中使用它们..在 Component 中我知道我要使用哪个函数应该通过名称识别并与 .JSON 文件进行比较来使用,这在开发环境中很
我想将用户添加到我的 Parse.Role 但它不起作用。我看了很多例子,它们看起来都很简单,但我无法正确理解。这是我的代码: Parse.Cloud.define("activateVendor",
我克隆了一个 https://github.com/beeman/loopback-angular-admin我已经使用环回资源管理器创建了几个新 Angular 色,但是如何为我创建的用户分配 An
我是一名优秀的程序员,十分优秀!