开篇
在日常工作中,总会遇到各种各样的需求,有些正常合理,有些异想天开,还有些闻所未闻,超乎你的想象。
产品经理来一句:“给我做一个指定某链接页面分享给指定人可以看的功能”,
你问他:“这个你想怎么搞,有啥思路方案?”
他说:“你自己看着办吧!能做出来就行。”
内心PS: 我要是做不出来,你还能把我开了不成。。。。
指定链接页面指定人看
前提:用户必须登录
既然指定的链接需要指定人才可以点击打开,那么就必须知道当前用户是谁,也就是网站必须要求用户登录,否则无法跳转到指定链接或跳转后显示的是空白页。
非法效果
- 无法跳转到指定链接
- 一般由前端路由控制,如果访问的是该链接地址,且当前用户未登录,则提示无法跳转,此时浏览器url还是原始url
- 跳转后显示空白页
- 一般在页面渲染前调用,如果没有获取到当前用户或不是当前用户,则页面空白,此时浏览器url为已跳转的url
设计要素
既然是指定用户才能访问的链接,就代表每个链接都对应着一个用户或多个用户。这就会存在一对多/多对多的关系;
- 一对多:一个链接对应多个可访问的用户,表明多个用户可以拥有相同的访问链接。
- 一对一:一个链接只能有一个可访问的用户,表明每个用户的可访问链接都是不一样的,但最终目标页面都是同一个。
实现的方式
有状态实现
通过数据表的方式,保存链接与指定用户的关系,例如:
| 可访问链接 | 用户id | 有效期 |
| www.baidu.com | 1001, 1002 | 1h |
| www.taobao.com | 1002 | 1h |
此时前端必须跳转到目标url,然后通过请求后端服务来判断登录用户是否有访问权限。
优点:
- 简单直接,便于维护。
- 可提供管理操作,便于动态修改。
缺点:
- 前端需要和后端进行交互,依赖后端数据源。
- 占用资源,例如网络,磁盘IO等。
无状态实现
可以采用的方式有:进制互换、混淆加解密、token加解密、非对称加解密等等,总之就是采用加密目标字符串的方式来隐藏真实的目标url
- 加密url:
目标url?salt=salt&userId=用户标识,用户标识...&加密算法= 指定用户的加密链接 - 解密url:
指定用户的加密链接&解密算法=目标url?salt=salt&userId=用户标识,用户标识...
此时前端接收到加密url,然后采用解密url算法即可得到目标url,同时附带的用户标识可以在跳转前、跳转后提供校验依据, 如果没有
salt的话,部分黑客用户可以解析出目标url然后追加用户标识以此来通过页面检查查看目标页面内容,所以为了安全起见附带一个参数salt多做一层访问校验。
优点:
- 不依赖存储服务
- 资源占用较少;可以被共享
缺点:
- 设计实现复杂
有状态实现+无状态实现
基于上述两种方式做实现:
- 有状态--实现做管理
- 无状态--实现做分享与校验。
最重要的还是依据业务与场景进行选择,其实这个功能是可以做成一个通用功能模块的,具体怎么设计,大家可以在文章下面评论留言。
