我有一个包含多个组件的 React-Redux-KoaJs 应用程序。我的用户角色也很少。现在我想仅向特定角色显示几个按钮、表格和 div,而对其他人隐藏。请记住,我不想隐藏整个组件,而只是隐藏组件的一部分。谁能帮我?提前致谢。
如何在 react redux 应用程序中实现基于角色的限制/权限?
IT技术
reactjs
react-redux
user-permissions
role-based-access-control
2021-04-27 09:05:23
4个回答
您可以按照@Eudald Arranz 的建议检查每个组件中的角色或权限。或者您可以编写一个组件来检查您的权限。例如:
import PropTypes from 'prop-types';
import { connect } from 'react-redux';
const ShowForPermissionComponent = (props) => {
const couldShow = props.userPermissions.includes(props.permission);
return couldShow ? props.children : null;
};
ShowForPermissionComponent.propTypes = {
permission: PropTypes.string.isRequired,
userPermissions: PropTypes.array.isRequired
};
const mapStateToProps = state => ({
userPermissions: state.user.permission //<--- here you will get permissions for your user from Redux store
});
export const ShowForPermission = connect(mapStateToProps)(ShowForPermissionComponent);
然后你可以像这样使用这个组件:
import React from 'react';
import { ShowForPermission } from './ShowForPermission';
cons MyComponent = props => {
return (
<div>
<ShowForPermission permission="DELETE">
<button>Delete</button>
</ShowForPermission>
</div>
);
}
小心点。如果某些角色的操作很重要,则应始终在后端验证它们。如果没有适当的验证,很容易在前端更改存储在 redux 中的值,从而允许恶意使用角色。
如果你想继续一个可能的方法是这样的:
- 将角色保存在您的减速器中
- 将 reducer 绑定到组件:
function mapStateToProps(state) {
const { user_roles } = state;
return { user_roles };
}
export default connect(mapStateToProps)(YourComponent);
- 然后在您的组件中,您可以检查 user_roles 并相应地呈现操作:
render() {
return (
<div>
{this.props.user_roles.role === "YOUR_ROLE_TO_CHECK" && <ActionsComponent />}
</div>
);
}
这将ActionsComponent仅在角色等于所需角色时呈现。
同样,始终在后端验证角色!
解决这个问题的最佳实践是,简单地防止应用程序生成不必要的路线,而不是检查每条路线上的当前用户角色,最好只生成用户有权访问的路线。
所以Normal reouting是: 控制整个视图:
const App = () => (
<BrowserRouter history={history}>
<Switch>
<Route path="/Account" component={PrivateAccount} />
<Route path="/Home" component={Home} />
</Switch>
</BrowserRouter>
export default App;
);基于用户角色的路由:
import { connect } from 'react-redux'
// other imports ...
const App = () => (
<BrowserRouter history={history}>
<Switch>
{
this.props.currentUser.role === 'admin' ?
<>
<Route path="/Account" exact component={PrivateAccount} />
<Route path="/Home" exact component={Home} />
</>
:
<Route path="/Home" exact component={Home} />
}
<Route component={fourOFourErroPage} />
</Switch>
</BrowserRouter>
const mapStateToProps = (state) => {
return {
currentUser: state.currentUser,
}
}
export default connect(mapStateToProps)(App);因此,具有管理员角色的用户将有权访问帐户页面,而其他用户只能访问主页!如果任何用户尝试访问其他路由,则会出现 404 页面错误。我希望我已经给出了一个有用的解决方案。
有关此方法的高级详细信息,您可以在 github 上查看此存储库:Role-based-access-control with react
只隐藏一个展示组件:
{this.props.currentUser.role === 'admin' && <DeleteUser id={this.props.userId} /> }因此,我发现有一种替代且简单的方法可以在前端实现基于角色的访问 (RBAC)。
在您的 redux 存储状态中,创建一个名为权限的对象(或者您可以随意命名),如下所示:
const InitialState = {
permissions: {}
};
然后在您的登录操作中,设置您想要提供的权限,如下所示:
InitialState['permissions'] ={
canViewProfile: (role!=='visitor'),
canDeleteUser: (role === 'coordinator' || role === 'admin')
// Add more permissions as you like
}
在第一个权限中,您是说如果您不是访问者,您可以查看个人资料。在第二个权限中,您是说只有当您是管理员或协调员时才能删除用户。并且这些变量将根据登录用户的角色保持为真或假。因此,在您的商店状态中,您将拥有一个带有代表权限的键的权限对象,它们的值将根据您的角色决定。
然后在您的组件中使用商店状态来获取权限对象。您可以使用 connect 来执行此操作,例如:
const mapStateToProps = (state) => {
permissions : state.permissions
}
然后将这些props连接到您的组件,如:
export default connect(mapStateToProps,null)(ComponentName);
然后你可以在你的组件中使用这些 props 在你想要有条件地显示的任何特定元素上,如下所示:
{(this.props.permissions.canDeleteUser) && <button onClick={this.deleteUser}>Delete User</button>}
上面的代码将确保只有当您有删除用户的权限时才会呈现删除用户按钮,即在您的商店状态权限对象中,canDeleteUser 的值为 true。
就是这样,您已经应用了基于角色的访问。您可以使用这种方法,因为它易于扩展和可变,因为您将在一个地方根据角色拥有所有权限。
希望这可以帮助!如果我错过了什么,请在评论中帮助我。:-)
其它你可能感兴趣的问题