element admin 动态路由_vueelementadmin权限管理之路由解读

权限问题一直是一个比较让人头疼的事情，以前前后端不分离的时候，后端负责权限的处理，根据用户或角色的权限来渲染页面，现在随着前后端分离的流行，权限管理是否可以交给前端的讨论也慢慢浮出水面，前端管理权限的优势是显而易见的，就是极大的减轻了后端的负担，使得页面渲染更快更方便，代价就是安全性难以得到保证，因为我们需永远记住——用户是不可靠的。

权限控制最简单的一种方式是路由控制，即根据用户或者角色的权限来决定哪些路由是可以访问的，比如新闻管理员只能访问新闻管理的页面，商品管理的页面他是访问不了的。较为复杂的权限控制则需要对访问的数据进行控制(比如有些帖子普通会员看不了图片)，这个前端就很难实现了。我们在这里讨论路由控制的情况。

路由文件为src/router/index.js，代码较长，重复部分省略之：

import Vue from 'vue'
import Router from 'vue-router'

Vue.use(Router)

import Layout from '@/layout'

export const constantRoutes = [
  {
    path: '/redirect',
    component: Layout,
    hidden: true,
    children: [
      {
        path: '/redirect/:path(.*)',
        component: () => import('@/views/redirect/index')
      }
    ]
  },
  {
    path: '/login',
    component: () => import('@/views/login/index'),
    hidden: true
  },
  {
    path: '/',
    component: Layout,
    redirect: '/dashboard',
    children: [
      {
        path: 'dashboard',
        component: () => import('@/views/dashboard/index'),
        name: 'Dashboard',
        meta: { title: 'Dashboard', icon: 'dashboard', affix: true }
      }
    ]
  },
]


export const asyncRoutes = [
  {
    path: '/permission',
    component: Layout,
    redirect: '/permission/page',
    alwaysShow: true, // will always show the root menu
    name: 'Permission',
    meta: {
      title: 'Permission',
      icon: 'lock',
      roles: ['admin', 'editor'] // you can set roles in root nav
    },
    children: [
      {
        path: 'page',
        component: () => import('@/views/permission/page'),
        name: 'PagePermission',
        meta: {
          title: 'Page Permission',
          roles: ['admin'] // or you can only set roles in sub nav
        }
      },
      {
        path: 'directive',
        component: () => import('@/views/permission/directive'),
        name: 'DirectivePermission',
        meta: {
          title: 'Directive Permission'
          // if do not set roles, means: this page does not require permission
        }
      },
      {
        path: 'role',
        component: () => import('@/views/permission/role'),
        name: 'RolePermission',
        meta: {
          title: 'Role Permission',
          roles: ['admin']
        }
      }
    ]
  },

  componentsRouter,
  chartsRouter,
  nestedRouter,
  tableRouter,
  { path: '*', redirect: '/404', hidden: true }
]

const createRouter = () => new Router({
  // mode: 'history', // require service support
  scrollBehavior: () => ({ y: 0 }),
  routes: constantRoutes
})

const router = createRouter()

export function resetRouter() {
  const newRouter = createRouter()
  router.matcher = newRouter.matcher // reset router
}

export default router

可以看出，在路由文件中，定义了两种路由，一种是constantRoutes，这里面都是一些公共的页面如登录、404、401等，这些路由的特点就是不需要权限。还一种路由是asyncRoutes，我们称之为异步路由，这些路由在路由初始化时并未被加载，而是事先定义好，以便后续动态添加到路由中去。

说到动态添加路由，vue-router提供了一个函数：

router.addRoutes(routes: Array)

这样我们就可以根据权限来动态的添加路由，最终生成我们需要的路由了。

看完是不是感觉哪里不对劲，仔细想想，我们在路由中定义的异步路由是干什么的？好像没用上；前端添加路由需要后端返回完整的路由信息，这不还是后端在处理权限么，只不过换了种渲染方式而已。

vue-element-admin采用的是路由匹配的方式，即用户登录以后，获取用户的角色信息，再与异步路由中的信息进行对比，对比之后最终生成用户的路由。即后端只提供用户的角色信息，前端自己生成该用户能够访问的路由，至于什么角色能够访问哪些路由，这些也可以在前端事先规定好。

这就是vue-element-admin权限控制中可访问路由的生成方式，这样后端的任务就大大的减轻了，但是，我们还是要再次强调，用户是不可靠的，前端返回的数据发起的请求后端一定要进行验证，特别是对数据库的操作，更是马虎不得！

往期推荐

vue-element-admin源码解读之Siderbar侧边栏menu

2020-07-08

vue-element-admin源码解读之Siderbar侧边栏logo

2020-07-06

前后端分离之获取用户信息

2020-07-05

vue-element-admin之存储access_token(含源码分析)

2020-07-04

利用vue-element-admin/ui简单测试JWT

2020-07-03

对jwt-auth官方手册的一些修订(附完整代码)

2020-07-02

Token续签问题浅谈及QQ的OAuth2.0自动续期

2020-07-01

OAuth2.0之授权码模式(结合QQ授权讲解)

2020-06-28

OAuth2.0回顾

2020-06-27