20

我有一个包含多个组件的 React-Redux-KoaJs 应用程序。我的用户角色也很少。现在我想仅向特定角色显示几个按钮、表格和 div,并对其他人隐藏。请记住,我不想隐藏整个组件,而只是隐藏组件的一部分。谁能帮我?提前致谢。

4

5 回答 5

27

您可以按照@Eudald Arranz 的建议检查每个组件中的角色或权限。或者您可以编写一个为您检查权限的组件。例如:

import PropTypes from 'prop-types';
import { connect } from 'react-redux';

const ShowForPermissionComponent = (props) => {
    const couldShow = props.userPermissions.includes(props.permission);
    return couldShow ? props.children : null;
};

ShowForPermissionComponent.propTypes = {
    permission: PropTypes.string.isRequired,
    userPermissions: PropTypes.array.isRequired
};


const mapStateToProps = state => ({
    userPermissions: state.user.permission //<--- here you will get permissions for your user from Redux store
});

export const ShowForPermission = connect(mapStateToProps)(ShowForPermissionComponent);

然后你可以像这样使用这个组件:

import React from 'react';
import { ShowForPermission } from './ShowForPermission';

cons MyComponent = props => {
   return (
        <div>
            <ShowForPermission permission="DELETE">
                <button>Delete</button>
            </ShowForPermission>
        </div>
   );
}
于 2019-05-06T12:11:12.443 回答
15

小心点。如果某些角色的操作很重要,您应该始终在后端验证它们。如果没有适当的验证,很容易在前端更改存储在 redux 中的值,从而允许恶意使用角色。

如果你想继续一个可能的方法是这样的:

  • 在你的 reducer 中保存角色
  • 将 reducer 绑定到组件:
function mapStateToProps(state) {
  const { user_roles } = state;
  return { user_roles };
}

export default connect(mapStateToProps)(YourComponent);
  • 然后在您的组件中,您可以检查 user_roles 并相应地呈现操作:
render() {
    return (
      <div>
        {this.props.user_roles.role === "YOUR_ROLE_TO_CHECK" && <ActionsComponent />}
      </div>
    );
  }

这将ActionsComponent仅在角色等于所需角色时呈现。

同样,始终在您的后端验证角色!

于 2019-05-06T11:56:41.693 回答
11

解决此问题的最佳做法是,简单地防止应用生成不必要的路由,而不是检查每个路由上的当前用户角色,最好只生成用户有权访问的路由。

所以正常的重路由是: 控制整个视图: 

const App = () => (
  <BrowserRouter history={history}>
    <Switch>
      <Route path="/Account" component={PrivateAccount} />
      <Route path="/Home" component={Home} />
    </Switch>
  </BrowserRouter>
  export default App;
);

基于用户角色的路由: 

import { connect } from 'react-redux'
   // other imports ...
   const App = () => (
      <BrowserRouter history={history}>
        <Switch>
        {
          this.props.currentUser.role === 'admin' ?
            <>
          <Route path="/Account" exact component={PrivateAccount} />
          <Route path="/Home" exact component={Home} />
            </> 
            : 
          <Route path="/Home" exact component={Home} />
        }
        <Route component={fourOFourErroPage} />

        </Switch>
      </BrowserRouter>
      
const mapStateToProps = (state) => {
  return {
    currentUser: state.currentUser,
  }
}
export default connect(mapStateToProps)(App);

因此,具有管理员角色的用户将有权访问帐户页面,而其他用户只能访问主页!如果任何用户尝试访问其他路由,则会出现 404 页面错误。我希望我已经给出了一个有用的解决方案。

有关此方法的高级详细信息,您可以在 github 上查看此存储库:Role-based-access-control with react

只隐藏一个展示组件:

{this.props.currentUser.role === 'admin' && <DeleteUser id={this.props.userId} /> }

于 2019-12-26T15:03:12.583 回答
4

因此,我发现有一种替代且简单的方法可以在前端实现基于角色的访问 (RBAC)。

在您的 redux 存储状态中,创建一个名为 permissions 的对象(或者您可以将其命名为任何您喜欢的名称),如下所示:

const InitialState = {
  permissions: {}
};

然后在您的登录操作中,设置您要提供的权限,如下所示:

InitialState['permissions'] ={
  canViewProfile: (role!=='visitor'),
  canDeleteUser: (role === 'coordinator' || role === 'admin')
  // Add more permissions as you like
}

在第一个权限中,您说如果您不是访客,则可以查看个人资料。在第二个权限中,您说只有当您是管理员或协调员时才能删除用户。并且这些变量将根据登录用户的角色保持为真或假。因此,在您的商店状态中,您将拥有一个权限对象,其中包含表示权限的键,其值将根据您的角色来决定。

然后在您的组件中使用存储状态来获取权限对象。您可以使用 connect 来执行此操作,例如:

const mapStateToProps = (state) => {
  permissions : state.permissions
}

然后将这些道具连接到您的组件,例如:

export default connect(mapStateToProps,null)(ComponentName);

然后你可以在你想要有条件地显示的任何特定元素上使用组件内的这些道具,如下所示:

{(this.props.permissions.canDeleteUser) && <button onClick={this.deleteUser}>Delete User</button>}

上面的代码将确保仅当您有权删除用户时才呈现删除用户按钮,即在您的商店状态权限对象中,canDeleteUser 的值为 true。

就是这样,您已经应用了基于角色的访问权限。您可以使用这种方法,因为它易于扩展和可变,因为您将根据角色在一个地方拥有所有权限。

希望这可以帮助!如果我错过了什么,请在评论中帮助我。:-)

于 2019-05-07T07:05:36.887 回答
1

我已经在这个rbac-react-redux-aspnetcore 存储库中实现了这个。如果有人想将 Redux 与 Context API 一起使用,那么下面的代码片段可能会有所帮助。

export const SecuedLink = ({ resource, text, url }) => {

  const userContext = useSelector(state => {
    return state.userContext;
  });    

  const isAllowed = checkPermission(resource, userContext);
  const isDisabled = checkIsDisabled(resource, userContext);

  return (isAllowed && <Link className={isDisabled ? "disable-control" : ""} to={() => url}>{text}</Link>)
}


const getElement = (resource, userContext) => {
    return userContext.resources
        && userContext.resources.length > 0
        && userContext.resources.find(element => element.name === resource);
}

export const checkPermission = (resource, userContext) => {
    const element = getElement(resource, userContext);
    return userContext.isAuthenticated && element != null && element.isAllowed;
}

export const checkIsDisabled = (resource, userContext) => {
    const element = getElement(resource, userContext);
    return userContext.isAuthenticated && element != null && element.isDisabled;
}

要使用上面的代码片段,我们可以像下面这样使用它

  <SecuedLink resource='link-post-edit' url={`/post-edit/${post.id}`} text='Edit'></SecuedLink>
  <SecuedLink resource='link-post-delete' url={`/post-delete/${post.id}`} text='Delete'></SecuedLink>

因此,根据角色,您不仅可以显示/隐藏元素,还可以启用/禁用它们。权限管理与 react-client 完全解耦并在数据库中进行管理,因此您不必为了支持新角色和新权限而一次又一次地部署代码。

于 2020-11-14T12:40:39.047 回答