前后端分离项目，你们是怎么控制权限的？

控制全部交给后台处理。
第一次登录的时候，使用用户信息生成token返回给客户端。
token的安全性由后台处理，前端拿到的数据都认为是正确的，不对权限做控制。
前端每次请求后台接口，都将token带入。由后台验证token的正确性，并且返回相应的结果。
用标准的restful api就可以了。

权限由后端控制，前端只需要根据后端的返回结果判断是否有权限，或者是否有数据来进行友好的呈现

可以参考下这个回答

前端不建议拥有权限控制，因为是不可靠的。。

权限由后端控制才是安全的 前端只能做一些辅助判断
看你的问题的我建议你们后台权限分两套：页面权限和数据权限
进入一个页面或路由 首先请求判断是否有页面的权限，有了页面的权限再请求数据，后台会更具token来判断返回相应的结果 没有权限统一根据401中的错误码来做对应的展示
这样做就可以很好的应对 当用户手动修改本地数据或url访问到他不应该访问的页面了

vue路由有meta字段，可以用来存储可访问此路由的角色，但是这样的话，你的菜单需要根据路由动态生成而不是写死在页面上。

同意@小翼做法是对的，你说的手动修改了有什么关系，就算用户能通过一些方式进入到本来进入不了的页面，当在那个页面想要获取到一些数据或者一些操作还是要通过这个token值，而这个token值用户是破解不了的，他只是单纯的进入了一个空页面而已页面

完整的前端权限控制可以参考这个项目：https://github.com/tower1229/...

首先，肯定只能是后端权限起作用
其次，对每个涉权操作，都要进行鉴权后才响应，这一步不能省，否则会乱套的。

后面有人提到查操作可以不需要鉴权，这个全面来说是错误的，如果是涉密环境，就是查操作肯定也要鉴权，有权的才能访问的。所以每个涉权操作每一次都需要鉴权。

前端权限相关字段仅仅是为了优化UI，并不具有实际的权限管理作用，只有这样才能保证权限系统是稳定的。

首先 权限功能是由后台实现的，我们的目标是如何在复杂权限系统的前端体现出权限的概念

我的做法是前端路由全部存数据库，每个前端路由下绑定该路由需要访问的api，通过前端的管理界面实现 前端和后端权限的绑定。用户登录时获取有权限的前端路由动态注册

由此实现了界面上大到路由，小到一个按钮的任何权限管控(按钮也存后端)，既无权限也不显示ui，比如某一个路由没权限，后端也不会返回该路由，导致前端没有这条路由

然后又通过路由表关联的api实现了每打开一个前端页面可以自动请求该页面下的api 自己同步后端的接口验证到前端，后端修改接口验证，前端自动更改等等一系列功能，手机打字太累不再赘述，感兴趣沟通我

我做的项目也是有这个问题, 因为我这里的权限控制非常细, 细到每一步操作都要判断是否可以进行, 于是我和后端这样约定.

查操作, 前端不进行鉴权, 后端根据用户的权限, 如果有数据则返回数据, 没有数据就返回空
增删改操作, 前端统一在组件内自动 fetch 相关资源的 action, 然后根据后端返回是否有权限, 来决定组件的行为

可以看看这个，前后端分离权限问题解决样板https://github.com/lenve/vhr

说到权限，我这两天正好在重构我们系统的权限模块。当然是在前N人的基础上重构。思想大概是这样的。我们现在老系统用的是angular框架。

实现原理：
可以在父级controller中去定义好你要显示的，亦或者你要控制的权限码。然后在子集控制集中调用循环出来。

保存的时候就是将这些权限码全部放入一个数组中，使用的时候是在父级控制器中写一个公共方法。检索后台返回的数据中是否有你想要检索的字符串。

第一次登陆系统的时候，再登录动作触发之后需要将所有的权限码放入localstorage中。

PS：我知道这种控制权限不是很安全，可是我们系统接口无法达到速度很快。所以就只能暂时这样处理。

前后端分离，不是完全分离？你没有自己的node服务器，再去转接后台请求，session在哪里做的，正常权限数据应该放在session里的。

楼主的问题，其实应该是有答案：所有权限控制都放在后端， 至于一个用户能看到什么目录资源，全部由后端接口处理返回数据。后端给什么，前端就显示什么。连v-if都不用写。数据也是一样，后端接口返回什么就处理什么。不用关心权限。至于用户拿到什么链接直接去访问，是要带session（会话） 或者token(令牌)。这两种信息也是后端维护的。现代前后端分离。就是前端负责表现与交互逻辑，后端负责数据与业务逻辑。权限明显是业务逻辑的范畴。

从后端拿到当前用户能访问的页面菜单配置，或跟权限相关的操作，可先进行查询等，
也有做一些示例：https://github.com/meibin08/ ，可以参考一下，