Skip to content

Latest commit

 

History

History
170 lines (142 loc) · 9.49 KB

tars-web-user.md

File metadata and controls

170 lines (142 loc) · 9.49 KB

用户体系模块使用指引

TARS管理平台提供了与用户体系(包括单点登录系统和权限系统)对接的能力,若用户本身无相应的系统,TARS可提供了一个简易的用户体系模块,供用户选装。用户体系模块提供了单点登录和注册的功能,以及到服务层级的权限控制能力。用户也可以选择只使用其中一个功能。

tars-web >= v2.4.8

tars-web可以直接对接到LDAP服务完成用户的登录鉴权, 你只需要在用户中心 => 设置中, 编辑LDAP参数, 设置好LDAP的地址, 并开启LDAP即可.

这样, 如果你的公司和企业统一采用LDAP来完成鉴权, 你可以让tars web连接到你的LDAP完成统一的鉴权.

tars-web < v2.4.7

tars-web < v2.4.7的版本你可以实现自己独立的用户鉴权模块, 但是操作起来相对复杂, 建议使用>=v2.4.8的版本, 直接对接到LDAP即可

1)默认登录模块:提供基础的注册和登录页面,对外提供获取用户信息的接口getUidByTicket和校验是否登录的接口validate, getUidByTicket接口接收一个ticket参数,返回uid validate接口接收ticket参数和uid参数,返回result(true或false);

2)默认权限模块:权限模块数据库表中有三个字段,为flag,role和uid,分别对应标志(在TARS平台中为“应用+服务”表示一个标志),角色和用户。

权限模块对外提供6个接口和一个页面:

    /auth/addAuth: 批量新增权限接口,入参为[{flag: “”,role: “”,uid: “”}],
    /auth/deleteAuth:删除权限接口,入参为flag,删除flag下所有权限信息
    /auth/updateAuth:更新权限接口,入参为flag,role,uid,其中,uid为用户列表,表示更新某个flag和role下的所有用户信息。
    /auth/getAuthListByUid:获取某用户具有的全部权限列表,入参为uid
    /auth/getAuth:判断用户是否具有权限,入参为flag,role,uid。
    /auth/getAuthListByFlag:获取有某个flag权限的用户信息,入参为flag
	权限模块还提供了一个管理页面:
	/auth.html:用于对权限进行增删改查。

注意:默认的权限模块,为保证系统安全性,以上的列的6个接口,必须采用白名单的方式访问,不允许被其他人随意调用,管理页面Auth.html 需系统管理员才可使用。白名单和管理员的相关配置,可在/config/authConf.js中配置。

TARS对接登录模块能力

TARS 通过配置文件/config/loginConf.js 与 第三方登录体系,或默认用户体系登录模块关联,提供允许用户登录的能力。 其中,登录配置文件详细信息如下:

 {
    enableLogin: true,                  //是否启用登录验证
    defaultLoginUid: 'admin',             //若不启用登录验证,默认用户为admin
    loginUrl: 'http://localhost/login.html',   //跳转到的登录url
    redirectUrlParamName: 'service',        //跳转到登录url的时带原url的参数名,如:***/login?service=\*\*\*,默认是service
    logoutUrl: '',                    //登出的url
    logoutredirectUrlParamName: 'url',      //跳转到登录url的时带原url的参数名,与登录的参数功能一致
    ticketCookieName: 'ticket',           //cookie中保存ticket信息的cookie名
    uidCookieName: 'uid',               //cookie中保存用户名信息的cookie名
    cookieDomain: 'localhost',           //cookie值对应的域,若为空,则为当前管理平台所在域
    ticketParamName: 'ticket',           //第三方登录服务登录成功回调时候,url中表示ticket的参数名
    getUidByTicket: 'http://localhost/getUidByTicket',  
	//此处可以为一个url,或一个函数方法,通过ticket从登录服务端校验和获取用户基本信息的url 或 获取用户基本信息的方法。若是函数方法,则以下getUidByTicketParamName和uidKey参数无效,方法直接返回用户名即可
    getUidByTicketParamName: 'ticket',      //调用获取用户信息接口时候ticket的参数名
    uidKey: 'data.uid',                //结果JSON里面取出用户名的位置,取到该用户名才认为成功,可以多层,示例中表示从返回值的data对象中取uid。
    validate: 'http://example.com/api/validate',  
	//通过token和用户名到登录服务端校验key和用户名是否匹配的url或方法,若是函数方法,则以下validateTicketParamName,validateUidParamName和validateMatch参数无效,方法直接返回true或false表示是否通过登录即可。

    validateTicketParamName: 'ticket',      //校验接口传入ticket参数名
    validateUidParamName: 'uid',          //校验接口传入用户参数名
    validateMatch: [
        ['data.result', true]
    ],                           //校验通过匹配条件,可以从多层结果,多个情况进行匹配判断
    ignore: ['/static', '/tarsnode.tar.gz'],  //不需要登录校验的路径段
    ignoreIps: [],                   //访问ip白名单,在白名单内的ip,可直接跳过登录校验
    apiPrefix: ['/pages/server/api'],      //接口相应的路径前缀,此类前缀请求,若无登录,不跳转到登录页面,而是提示未登录
    apiNotLoginMes: '您尚未登录',        //接口无登录时的提示语
}

TARS对接权限模块能力

TARS 通过配置文件/config/authConf.js 与 第三方权限系统,或默认用户体系权限模块关联,提供权限控制的能力。 其中,权限配置文件详细信息如下(接口入参和出参与上述第1点用户体系权限模块一致):

{

    /**
     * 是否启用自定义权限模块
     */
    enableAuth: false,

    
    /**
     * addAuthUrl             新增权限url
     * TARS平台会提供的参数
     * @param   {Array}    auth         权限对象列表,格式如 {"flag": "app-server", "role": "operator", "uid": "username"}
     */
    /**
     * 接口需要返回的参数
     * @param   {Number}    ret_code            返回码,200表示成功
     * @param   {String}    err_msg             错误信息
     */
    addAuthUrl: 'http://localhost/api/auth/addAuth',

    /**
     * deleteAuthUrl             删除权限url,用于服务下线时候删除权限
     * TARS平台会提供的参数
     * @param   {String}    flag                权限单位,在tars中为“应用-服务”
     */
    /**
     * 接口需要返回的参数
     * @param   {Number}    ret_code            返回码,200表示成功
     * @param   {String}    err_msg             错误信息
     */
    deleteAuthUrl: 'http://localhost/api/auth/deleteAuth',

    /**
     * updateAuthUrl             更新权限url
     * TARS平台会提供的参数
     * @param   {String}    flag                权限单位,在tars中为“应用-服务”
     * @param   {String}    role                角色,在tars中为operator或developer
     * @param   {String}    uid                 用户名
     */
    /**
     * 接口需要返回的参数
     * @param   {Number}    ret_code            返回码,200表示成功
     * @param   {String}    err_msg             错误信息
     */
    updateAuthUrl: 'http://localhost/api/auth/updateAuth',

    /**
     * getAuthListByUidUrl             通过用户名获取权限列表url
     * TARS平台会提供的参数
     * @param   {String}    uid                 用户名
     */
    /**
     * 接口需要返回的参数
     * @param   {Array}     data                服务列表,内容如下
     *        @param   {String}    flag                权限单位,在tars中为“应用-服务”
     *        @param   {String}    role                角色,在tars中为operator或developer
     *        @param   {String}    uid                 用户名
     * @param   {Number}    ret_code            返回码,200表示成功
     * @param   {String}    err_msg             错误信息
     */
    getAuthListByUidUrl: 'http://localhost/api/auth/getAuthListByUid',

    /**
     * getAuthListByFlagUrl             通过应用名+服务名获取用户列表url
     * TARS平台会提供的参数
     * @param   {String}    flag                 应用+服务名
     */
    /**
     * 接口需要返回的参数
     * @param   {Array}     data                服务列表,内容如下
     *        @param   {String}    flag                权限单位,在tars中为“应用-服务”
     *        @param   {String}    role                角色,在tars中为operator或developer
     *        @param   {String}    uid                 用户名
     * @param   {Number}    ret_code            返回码,200表示成功
     * @param   {String}    err_msg             错误信息
     */
    getAuthListByFlagUrl: 'http://localhost/api/auth/getAuthListByFlag',

    /**
     * getAuthUrl             判断用户是否有相应角色的操作权限
     * TARS平台会提供的参数
     * @param   {String}    flag                权限单位,在tars中为“应用-服务”
     * @param   {String}    role                角色,在tars中为operator或developer
     * @param   {String}    uid                 用户名
     */
    /**
     * 接口需要返回的参数
     * @param   {Object}     data                服务列表,内容如下
     *        @param   {Boolean}    result              是否有操作权限
     * @param   {Number}    ret_code            返回码,200表示成功
     * @param   {String}    err_msg             错误信息
     */
    getAuthUrl: 'http://localhost/api/auth/getAuth'
}