前端去實現權限控制聽起來有點扯淡（實際也有點扯淡），掩耳盜鈴，主要是擔心安全問題，但是如果在前后端分離的情況下，需要做一個帶有權限控制的后臺管理系統，angular基于ui-router應該怎么做呢？

權限的設計中比較常見的就是RBAC基于角色的訪問控制,基本思想是，對系統操作的各種權限不是直接授予具體的用戶，而是在用戶集合與權限集合之間建立一個角色集合。每一種角色對應一組相應的權限。

 一旦用戶被分配了適當的角色后，該用戶就擁有此角色的所有操作權限。這樣做的好處是，不必在每次創建用戶時都進行分配權限的操作，只要分配用戶相應的角色即可，而且角色的權限變更比用戶的權限變更要少得多，這樣將簡化用戶的權限管理，減少系統的開銷。

前端基于angular開發的管理系統在權限控制方面需要處理如下幾種情況：

1、UI，該用戶對應的角色權限能夠訪問哪些頁面不能訪問哪些頁面；

2、理由，當用戶準備跳轉到某一頁面時，如果沒有該頁面的訪問權，重定向到一個錯誤提示頁面；

3、http請求，該用戶是否具有訪問某些API的權限，如果沒有返回403

如果處理以上問題？

 大致思路是：

1、用戶登錄后從server獲取該用戶的permission

2、然后建立一個service來保存該permission的映射關系，比如a用戶的permission是查看page1，page2，那么在路由發生變更之前判斷是否有訪問的權限，有正常跳轉，沒有則跳轉到統一的403頁面或者其他。

3、對于http請求，可以讓server來處理，判斷用戶是否有請求權限

獲取用戶permission，比如：

var permissionList; angular.element(document).ready(function() {  $.get('/api/UserPermission', function(data) {   permissionList = data;   angular.bootstrap(document, ['App']);  }); }); 

這里用到的是jquery的ajax，因為在此之前angular還沒啟動，如果我們的登錄也是用angular實現，可以在登錄之后讓server返回permission，然后保存下來。

判斷該用戶是否具有某個權限，比如：

app.factory('permissions', function($rootScope) {    return {      hasPermission: function(permission) {        if (permission) {          if (typeof(permission) == "string") {            if (permissionList.indexOf(permission) > -1) {              return true;            }          }        }        return false;      }    };  });

路由權限控制：

app.run(function($rootScope, $location,$state, permissions) {    $rootScope.$on('$stateChangeStart', function(event, toState, toParams, fromState, fromParams) {      var permission = toState.permission;        if (toState.name!="login"&&!permissions.hasPermission(permission)) {        // event.preventDefault();        // $state.transitionTo("login");      }    });  });