vue数据权限实现

Vue 数据权限实现方案

数据权限控制通常涉及前端与后端的协作，Vue 作为前端框架，主要负责界面层的数据展示与操作限制。以下是几种常见的实现方式：

基于角色/权限码的渲染控制

通过用户角色或权限码动态控制组件渲染，结合 v-if 或自定义指令实现：

// 权限指令示例
Vue.directive('permission', {
  inserted(el, binding, vnode) {
    const { value } = binding
    const permissions = vnode.context.$store.getters.permissions
    if (!permissions.includes(value)) {
      el.parentNode.removeChild(el)
    }
  }
})

模板中使用方式：

<button v-permission="'user:delete'">删除用户</button>

动态路由与菜单过滤

根据用户权限生成可访问的路由表，通常在路由守卫中处理：

router.beforeEach((to, from, next) => {
  const hasPermission = store.getters.permissions.includes(to.meta.permission)
  if (!hasPermission && to.meta.permission) {
    next('/403') // 跳转无权限页面
  } else {
    next()
  }
})

后端返回权限树后，前端过滤生成菜单：

function filterRoutes(routes, permissions) {
  return routes.filter(route => {
    if (route.meta?.permission) {
      return permissions.includes(route.meta.permission)
    }
    return true
  })
}

数据字段级权限控制

对于表格或表单中的字段，可通过权限判断是否显示：

<el-table-column 
  v-if="$hasPermission('user:view:email')" 
  prop="email" 
  label="邮箱"
/>

或通过高阶组件封装：

const withPermission = (Comp, permission) => {
  return {
    render(h) {
      return this.$hasPermission(permission) 
        ? h(Comp, { ...this.$attrs, ...this.$props })
        : null
    }
  }
}

接口请求拦截

在 axios 拦截器中加入权限参数或拦截非法请求：

axios.interceptors.request.use(config => {
  const { requireAuth } = config.meta || {}
  if (requireAuth && !store.getters.permissions.includes(requireAuth)) {
    return Promise.reject(new Error('无访问权限'))
  }
  return config
})

后端数据过滤配合

前端传递当前用户身份，后端返回对应数据：

// 请求时携带用户角色
api.getData({ 
  params: { 
    role: store.getters.role 
  }
})

注意事项

1. 前端权限控制属于弱校验，需后端进行最终验证
2. 敏感操作必须通过后端接口二次验证
3. 权限数据建议使用缓存策略减少请求
4. 对于SPA应用，需处理路由刷新时的权限重新校验

通过组合以上方法，可构建完整的Vue数据权限体系。实际项目中通常需要根据具体业务需求调整实现细节。