答案:前端权限路由通过用户角色动态生成可访问路由。登录后,后端返回角色权限,前端根据meta字段中的角色信息过滤动态路由,利用router.addRoute注册合法路由,并结合导航守卫控制跳转,确保用户仅能访问授权页面,同时菜单同步渲染,提升安全与体验。
前端权限路由控制是现代单页应用中常见的需求,尤其在管理系统中,不同角色看到的菜单和可访问的页面应有所不同。使用 JavaScript(特别是结合 Vue 或 React 框架)实现权限路由,能有效提升用户体验与系统安全性。下面介绍一种通用、实用的前端权限路由控制方案。
理解权限路由的基本逻辑
权限路由的核心思想是:根据用户登录后的角色或权限列表,动态生成可访问的路由表,并将其注册到前端路由系统中。这样用户只能看到和访问自己有权限的页面。
关键点包括:
- 后端返回用户权限标识(如 role: "admin" 或 permissions: ["user:list", "user:edit"])
- 前端定义路由元信息(meta 字段),标注每个路由所需的权限
- 登录后,根据权限过滤并生成合法路由
- 通过 router.addRoute 动态添加路由
- 配合导航守卫进行实时校验
定义路由结构与权限字段
在 Vue Router 中,可以预先定义两种路由:静态路由(所有人可访问,如登录页)和动态路由(需权限控制)。
立即学习“Java免费学习笔记(深入)”;
示例代码:
// routes.js
const staticRoutes = [
{ path: '/login', component: () => import('@/views/Login') }
]
const asyncRoutes = [
{
path: '/user',
component: () => import('@/layout/Index'),
meta: { title: '用户管理', roles: ['admin', 'editor'] },
children: [
{
path: 'list',
component: () => import('@/views/User/List'),
meta: { title: '用户列表', roles: ['admin'] }
},
{
path: 'profile',
component: () => import('@/views/User/Profile'),
meta: { title: '个人中心', roles: ['admin', 'editor'] }
}
]
},
{
path: '/audit',
component: () => import('@/views/Audit'),
meta: { title: '审核管理', roles: ['admin'] }
}
]
其中 roles 字段表示访问该路由所需的角色,也可替换为 permissions 使用更细粒度的权限控制。
动态添加路由并挂载
用户登录成功后,从后端获取其角色或权限列表,然后筛选 asyncRoutes 中符合条件的路由,并通过 router.addRoute 添加到路由系统中。
实现方法:
// permission.js
import router from '@/router'
import { asyncRoutes } from '@/router/routes'
import store from '@/store'
function hasPermission(roles, route) {
if (route.meta && route.meta.roles) {
return route.meta.roles.some(role => roles.includes(role))
}
return true
}
function filterAsyncRoutes(routes, roles) {
const res = []
routes.forEach(route => {
const tmp = { ...route }
if (hasPermission(roles, tmp)) {
if (tmp.children) {
tmp.children = filterAsyncRoutes(tmp.children, roles)
}
res.push(tmp)
}
})
return res
}
const whiteList = ['/login']
router.beforeEach(async (to, from, next) => {
const token = store.getters.token
if (token) {
if (to.path === '/login') {
next('/')
} else {
const hasRoles = store.getters.roles && store.getters.roles.length > 0
if (hasRoles) {
next()
} else {
try {
const { roles } = await store.dispatch('user/getUserInfo')
const accessedRoutes = filterAsyncRoutes(asyncRoutes, roles)
accessedRoutes.forEach(route => {
router.addRoute(route)
})
next({ ...to, replace: true })
} catch (error) {
await store.dispatch('user/resetToken')
next(`/login?redirect=${to.fullPath}`)
}
}
}
} else {
if (whiteList.indexOf(to.path) !== -1) {
next()
} else {
next(`/login?redirect=${to.fullPath}`)
}
}
})
上述代码中,通过 Vuex 存储用户信息,并在首次进入时拉取角色数据,再动态生成路由。
菜单渲染与权限同步
生成的路由可以直接用于侧边栏菜单渲染。由于路由已按权限过滤,只需遍历 accessedRoutes 即可生成可见菜单项。
建议将菜单标题(meta.title)、图标等信息一并写入路由 meta 字段,便于统一管理。
注意:前端控制仅用于体验优化,真实权限校验必须由后端完成。前端路由控制防止的是“误触”,而非“越权访问”。
基本上就这些。只要理清静态路由、动态路由、权限匹配和动态注册的流程,JS 实现权限路由并不复杂,但容易忽略细节导致漏控或重复添加。合理设计结构,配合状态管理和路由守卫,就能构建出安全、灵活的权限系统。
