如何在 React redux 应用程序中实现基于 restrictions/permissions 的角色?
How to implement Role based restrictions/permissions in react redux app?
我有一个包含多个组件的 React-Redux-KoaJs 应用程序。我的用户角色也很少。现在我只想向特定角色显示几个按钮、表格和 div,并对其他角色隐藏它们。请记住,我不想隐藏整个组件,而只是隐藏组件的一部分。谁能帮我?提前致谢。
注意这一点。如果某些角色的行为很重要,您应该始终在后端验证它们。如果没有适当的验证,很容易更改存储在前端 redux 中的值,允许恶意使用角色。
如果您想继续进行,可能的方法是:
- 在你的reducer中保存角色
- 将减速器绑定到组件:
function mapStateToProps(state) {
const { user_roles } = state;
return { user_roles };
}
export default connect(mapStateToProps)(YourComponent);
- 然后在您的组件中,您可以检查 user_roles 并相应地呈现操作:
render() {
return (
<div>
{this.props.user_roles.role === "YOUR_ROLE_TO_CHECK" && <ActionsComponent />}
</div>
);
}
这将仅在角色等于所需角色时呈现 ActionsComponent。
同样,请始终在后端验证角色!
您可以按照@Eudald Arranz 的建议检查每个组件中的角色或权限。或者您可以编写一个组件来为您检查权限。例如:
import PropTypes from 'prop-types';
import { connect } from 'react-redux';
const ShowForPermissionComponent = (props) => {
const couldShow = props.userPermissions.includes(props.permission);
return couldShow ? props.children : null;
};
ShowForPermissionComponent.propTypes = {
permission: PropTypes.string.isRequired,
userPermissions: PropTypes.array.isRequired
};
const mapStateToProps = state => ({
userPermissions: state.user.permission //<--- here you will get permissions for your user from Redux store
});
export const ShowForPermission = connect(mapStateToProps)(ShowForPermissionComponent);
然后你可以像这样使用这个组件:
import React from 'react';
import { ShowForPermission } from './ShowForPermission';
cons MyComponent = props => {
return (
<div>
<ShowForPermission permission="DELETE">
<button>Delete</button>
</ShowForPermission>
</div>
);
}
因此,我发现有一种替代且简单的方法可以在前端实现基于角色的访问 (RBAC)。
在你的 redux store state 中,创建一个名为 permissions 的对象(或者你可以随意命名),如下所示:
const InitialState = {
permissions: {}
};
然后在您的登录操作中,像这样设置您要提供的权限:
InitialState['permissions'] ={
canViewProfile: (role!=='visitor'),
canDeleteUser: (role === 'coordinator' || role === 'admin')
// Add more permissions as you like
}
在第一个权限中,你说如果你不是访客,你可以查看个人资料。
在第二个权限中,您说只有当您是管理员或协调员时才能删除用户。
并且这些变量将根据登录用户的角色保持真或假。因此,在您的商店状态下,您将拥有一个权限对象,其中包含表示权限的键,它们的值将根据您的角色来决定。
然后在您的组件中使用存储状态来获取权限对象。您可以使用以下连接方式执行此操作:
const mapStateToProps = (state) => {
permissions : state.permissions
}
然后将这些道具连接到您的组件,例如:
export default connect(mapStateToProps,null)(ComponentName);
然后你可以在你的组件中使用这些道具在你想要有条件地显示的任何特定元素上,如下所示:
{(this.props.permissions.canDeleteUser) && <button onClick={this.deleteUser}>Delete User</button>}
以上代码将确保仅当您有权删除用户时才会呈现删除用户按钮,即在您的商店状态权限对象中,canDeleteUser 的值为 true。
就是这样,您已经应用了基于角色的访问权限。您可以使用这种方法,因为它易于扩展和可变,因为您将在一个地方根据角色获得所有权限。
希望这对您有所帮助!如果我错过了什么,请在评论中帮助我。 :-)
解决此问题的最佳做法是,简单地阻止应用生成不必要的路由,而不是检查每个路由上的当前用户角色,最好只生成用户有权访问的路由。
所以正常的重新路由是:
要控制整个视图:
const App = () => (
<BrowserRouter history={history}>
<Switch>
<Route path="/Account" component={PrivateAccount} />
<Route path="/Home" component={Home} />
</Switch>
</BrowserRouter>
export default App;
);
基于用户角色的路由:
import { connect } from 'react-redux'
// other imports ...
const App = () => (
<BrowserRouter history={history}>
<Switch>
{
this.props.currentUser.role === 'admin' ?
<>
<Route path="/Account" exact component={PrivateAccount} />
<Route path="/Home" exact component={Home} />
</>
:
<Route path="/Home" exact component={Home} />
}
<Route component={fourOFourErroPage} />
</Switch>
</BrowserRouter>
const mapStateToProps = (state) => {
return {
currentUser: state.currentUser,
}
}
export default connect(mapStateToProps)(App);
因此具有管理员角色的用户将有权访问帐户页面,而其他用户将只能访问主页!如果任何用户尝试访问另一个路由,将出现 404 页面错误。
我希望我提供了一个有用的解决方案。
有关此方法的高级详细信息,您可以在 github 上查看此存储库:Role-based-access-control with react
仅隐藏一个展示组件:
{this.props.currentUser.role === 'admin' && <DeleteUser id={this.props.userId} /> }
我在这个rbac-react-redux-aspnetcore repository中实现了这个。
如果有人想将 Redux 与 Context API 一起使用,那么下面的代码片段可能会有所帮助。
export const SecuedLink = ({ resource, text, url }) => {
const userContext = useSelector(state => {
return state.userContext;
});
const isAllowed = checkPermission(resource, userContext);
const isDisabled = checkIsDisabled(resource, userContext);
return (isAllowed && <Link className={isDisabled ? "disable-control" : ""} to={() => url}>{text}</Link>)
}
const getElement = (resource, userContext) => {
return userContext.resources
&& userContext.resources.length > 0
&& userContext.resources.find(element => element.name === resource);
}
export const checkPermission = (resource, userContext) => {
const element = getElement(resource, userContext);
return userContext.isAuthenticated && element != null && element.isAllowed;
}
export const checkIsDisabled = (resource, userContext) => {
const element = getElement(resource, userContext);
return userContext.isAuthenticated && element != null && element.isDisabled;
}
要使用上面的代码片段,我们可以像下面这样使用它
<SecuedLink resource='link-post-edit' url={`/post-edit/${post.id}`} text='Edit'></SecuedLink>
<SecuedLink resource='link-post-delete' url={`/post-delete/${post.id}`} text='Delete'></SecuedLink>
因此,根据角色的不同,您不仅可以 show/hide 元素,还可以 enable/disable 它们。权限管理与react-client完全解耦并在数据库中管理,这样你就不必为了支持新角色和新权限而一次又一次地部署代码。
我有一个包含多个组件的 React-Redux-KoaJs 应用程序。我的用户角色也很少。现在我只想向特定角色显示几个按钮、表格和 div,并对其他角色隐藏它们。请记住,我不想隐藏整个组件,而只是隐藏组件的一部分。谁能帮我?提前致谢。
注意这一点。如果某些角色的行为很重要,您应该始终在后端验证它们。如果没有适当的验证,很容易更改存储在前端 redux 中的值,允许恶意使用角色。
如果您想继续进行,可能的方法是:
- 在你的reducer中保存角色
- 将减速器绑定到组件:
function mapStateToProps(state) {
const { user_roles } = state;
return { user_roles };
}
export default connect(mapStateToProps)(YourComponent);
- 然后在您的组件中,您可以检查 user_roles 并相应地呈现操作:
render() {
return (
<div>
{this.props.user_roles.role === "YOUR_ROLE_TO_CHECK" && <ActionsComponent />}
</div>
);
}
这将仅在角色等于所需角色时呈现 ActionsComponent。
同样,请始终在后端验证角色!
您可以按照@Eudald Arranz 的建议检查每个组件中的角色或权限。或者您可以编写一个组件来为您检查权限。例如:
import PropTypes from 'prop-types';
import { connect } from 'react-redux';
const ShowForPermissionComponent = (props) => {
const couldShow = props.userPermissions.includes(props.permission);
return couldShow ? props.children : null;
};
ShowForPermissionComponent.propTypes = {
permission: PropTypes.string.isRequired,
userPermissions: PropTypes.array.isRequired
};
const mapStateToProps = state => ({
userPermissions: state.user.permission //<--- here you will get permissions for your user from Redux store
});
export const ShowForPermission = connect(mapStateToProps)(ShowForPermissionComponent);
然后你可以像这样使用这个组件:
import React from 'react';
import { ShowForPermission } from './ShowForPermission';
cons MyComponent = props => {
return (
<div>
<ShowForPermission permission="DELETE">
<button>Delete</button>
</ShowForPermission>
</div>
);
}
因此,我发现有一种替代且简单的方法可以在前端实现基于角色的访问 (RBAC)。
在你的 redux store state 中,创建一个名为 permissions 的对象(或者你可以随意命名),如下所示:
const InitialState = {
permissions: {}
};
然后在您的登录操作中,像这样设置您要提供的权限:
InitialState['permissions'] ={
canViewProfile: (role!=='visitor'),
canDeleteUser: (role === 'coordinator' || role === 'admin')
// Add more permissions as you like
}
在第一个权限中,你说如果你不是访客,你可以查看个人资料。 在第二个权限中,您说只有当您是管理员或协调员时才能删除用户。 并且这些变量将根据登录用户的角色保持真或假。因此,在您的商店状态下,您将拥有一个权限对象,其中包含表示权限的键,它们的值将根据您的角色来决定。
然后在您的组件中使用存储状态来获取权限对象。您可以使用以下连接方式执行此操作:
const mapStateToProps = (state) => {
permissions : state.permissions
}
然后将这些道具连接到您的组件,例如:
export default connect(mapStateToProps,null)(ComponentName);
然后你可以在你的组件中使用这些道具在你想要有条件地显示的任何特定元素上,如下所示:
{(this.props.permissions.canDeleteUser) && <button onClick={this.deleteUser}>Delete User</button>}
以上代码将确保仅当您有权删除用户时才会呈现删除用户按钮,即在您的商店状态权限对象中,canDeleteUser 的值为 true。
就是这样,您已经应用了基于角色的访问权限。您可以使用这种方法,因为它易于扩展和可变,因为您将在一个地方根据角色获得所有权限。
希望这对您有所帮助!如果我错过了什么,请在评论中帮助我。 :-)
解决此问题的最佳做法是,简单地阻止应用生成不必要的路由,而不是检查每个路由上的当前用户角色,最好只生成用户有权访问的路由。
所以正常的重新路由是: 要控制整个视图:
const App = () => (
<BrowserRouter history={history}>
<Switch>
<Route path="/Account" component={PrivateAccount} />
<Route path="/Home" component={Home} />
</Switch>
</BrowserRouter>
export default App;
);
基于用户角色的路由:
import { connect } from 'react-redux'
// other imports ...
const App = () => (
<BrowserRouter history={history}>
<Switch>
{
this.props.currentUser.role === 'admin' ?
<>
<Route path="/Account" exact component={PrivateAccount} />
<Route path="/Home" exact component={Home} />
</>
:
<Route path="/Home" exact component={Home} />
}
<Route component={fourOFourErroPage} />
</Switch>
</BrowserRouter>
const mapStateToProps = (state) => {
return {
currentUser: state.currentUser,
}
}
export default connect(mapStateToProps)(App);
因此具有管理员角色的用户将有权访问帐户页面,而其他用户将只能访问主页!如果任何用户尝试访问另一个路由,将出现 404 页面错误。 我希望我提供了一个有用的解决方案。
有关此方法的高级详细信息,您可以在 github 上查看此存储库:Role-based-access-control with react
仅隐藏一个展示组件:
{this.props.currentUser.role === 'admin' && <DeleteUser id={this.props.userId} /> }
我在这个rbac-react-redux-aspnetcore repository中实现了这个。 如果有人想将 Redux 与 Context API 一起使用,那么下面的代码片段可能会有所帮助。
export const SecuedLink = ({ resource, text, url }) => {
const userContext = useSelector(state => {
return state.userContext;
});
const isAllowed = checkPermission(resource, userContext);
const isDisabled = checkIsDisabled(resource, userContext);
return (isAllowed && <Link className={isDisabled ? "disable-control" : ""} to={() => url}>{text}</Link>)
}
const getElement = (resource, userContext) => {
return userContext.resources
&& userContext.resources.length > 0
&& userContext.resources.find(element => element.name === resource);
}
export const checkPermission = (resource, userContext) => {
const element = getElement(resource, userContext);
return userContext.isAuthenticated && element != null && element.isAllowed;
}
export const checkIsDisabled = (resource, userContext) => {
const element = getElement(resource, userContext);
return userContext.isAuthenticated && element != null && element.isDisabled;
}
要使用上面的代码片段,我们可以像下面这样使用它
<SecuedLink resource='link-post-edit' url={`/post-edit/${post.id}`} text='Edit'></SecuedLink>
<SecuedLink resource='link-post-delete' url={`/post-delete/${post.id}`} text='Delete'></SecuedLink>
因此,根据角色的不同,您不仅可以 show/hide 元素,还可以 enable/disable 它们。权限管理与react-client完全解耦并在数据库中管理,这样你就不必为了支持新角色和新权限而一次又一次地部署代码。