Есть идея на счет мульти-права пользователя в SPA приложениях?

Question

[Дилик Пулатов]

Суть вопроса такая:
Есть SPA приложения в VueJs. А бекенд в Yii2. Нужно сделать так чтобы у админа было возможности дать права модератором в любой части админку.
Например есть список правы
Пользователи
- Список пользователи
- Добавить пользователь
- Редактировать пользователь
- Удалить пользователь
- и т.д

Было идея...
Я отправляю route.name в бекенд при запросе и там проверяю на наличии права. но эта идея не очень то работает

[
  "user_create" => ["api/user/create", "api/user/options"]
];

Answer 1

[Aetae]

Ну какбэ энтерпрайзно обычно это система: микророли - роли - должности(наборы ролей). Первые - это разрешение на определённый чих в определённом направлении внутри приложения, второе - связанный некоей логикой набор первых, третье - это связанный начальством набор вторых. Пользователю соответственно назначается третье, а внутри приложения проверяется первое.

Если пилить на коленке - можно не париться и использовать однодноуровневую систему, в которой просто назначать юзеру роли и проверять оные сразу же в приложении. Список доступных ролей брать при логине.

Роли никак не привязаны к структуре приложения и имеют говорящие названия.

Comments

[Дилик Пулатов]

Есть возможности брат список правы при логине и использовать их при роуте но это не вариант. Думаю проверка права пользователя только в фронте это плохая идея

[Aetae]

Дилик Пулатов, дык система едина должна быть: в первую очередь эти самые роли ограничивают сервер, а только потом их же использует клиент.

[Дилик Пулатов]

Aetae, вот именно: Сервер как ограничивают? от фронта если я отправляю роут нейм при запросе... А у пользователя эта права может быть есть а может и нет

[Aetae]

Дилик Пулатов, при чём тут роут нейм при ограничении сервера? Сервер ограничивает конкретные действия(удаление\создание\просмотр итд), эти действия могут быть связаны с путями, но на самом деле они сидят в неких методах\функциях, которые в свою очередь и должны проверять роли. API может поменяться, переделывать из-за этого всю систему безопасности - та ещё шляпа.

В любом случае это не клиент должен отправлять доступные права куда-то, а сервер должен отдавать список доступных юзеру прав заранее.

Answer 2

[Михаил]

Я бы на фронте сделал функцию проверки прав, которая по сути будет обращаться на бэкенд и дергать уже его $user->can. С кешированием конечно.
И на фронте вы сможете также манипулировать правами как например делали во вьюхах на php. async/await позволит дождаться ответа.