关键在于将权限同步设计为可等待、可校验、可重试的异步流程:主应用封装 awaitable 的 fetchUserPermissions() 获取标准化权限;跨应用通信采用带超时和错误捕获的 async 工具函数封装;子应用在路由、菜单、按钮控制中绑定权限就绪时机;失败时需显式处理并提供降级策略。

在微前端架构中,多个子应用登录后自动对齐权限,这个需求看似复杂,但核心并不在于堆砌通信代码,而是要把权限同步本身设计成一套可等待、可校验、可重试的异步流程。async/await 并非通信手段,而是让通信变得可靠、可控、可编排的执行骨架。下面逐一拆解。
权限数据获取必须是 awaitable 的源头
主应用登录完成后,不要急于广播原始 token 或角色名,而应封装一个返回 Promise 的权限拉取函数,例如 fetchUserPermissions():
- 该函数内部使用 fetch 获取用户的完整权限树(涵盖菜单、按钮、API 能力),并顺手完成基础校验——比如 status 是否为 200,data 是否为空;
- 返回的 Promise resolve 值为标准化的权限结构,格式如
{ menus: [...], routes: [...], buttons: {...} }; - 子应用在挂载前主动 await 这个函数,确保拿到的是最新、合法、已解码的权限数据,而非过期缓存或未解析的 JWT payload。
这一步相当于为所有子应用提供“干净水源”,无论后续如何分发,源头必须可靠。
跨应用通信桥接需封装为 async 工具函数
在 Qiankun 或自研基座中,主应用向子应用传递权限时,切忌直接使用 postMessage 加手动监听——那好比没有刹车的卡车。正确的做法是提供带超时与错误捕获的 async 封装:
- 例如 sendPermissionToApp(appName, permissions):内部通过 Promise.race 将 postMessage 和 setTimeout 包裹起来,避免子应用迟迟不响应而卡死主流程;
- 子应用暴露 waitForPermissions() 方法,返回一个 Promise,在收到主应用消息后 resolve 权限数据,同时自动处理重复发送、乱序到达等边界情况;
- 这样一来,两边交互就变成了一条可 await 的调用链:
await sendPermissionToApp('order-module', perms); await orderApp.waitForPermissions();,既清爽又可控。
动态路由与菜单渲染需绑定在异步就绪之后
子应用切忌在 setup() 或 created 阶段硬编码路由表,那等于在尚未拿到权限清单前就画好路线图——很容易出现“有权访问的路由未注册,无权访问的却先跑起来”。正确的做法是等待权限数据 ready 后再动态生成路由表:
- 在 Vue3 中,使用 onBeforeMount + await,确保 DOM 真正挂载前,路由已按权限过滤生成;
- 菜单组件通过 v-if="menusLoaded" 控制渲染,避免用户看到一闪而过的无权限项;
- 按钮级别的控制不要依赖 v-show 或 v-if 裸判断,而是通过组合式 API 实现 usePermission('btn-delete') Hook,内部 await 权限 store 初始化完成后才返回布尔值——干净利落。
错误与降级必须融入 async 流程
权限同步失败绝不能静默忽略,否则会埋下诡异的 bug。必须将其视为异步链上的一环,显式处理:
- 主应用:用 try/catch 把权限拉取和分发都包裹起来,出错时跳转统一授权页或弹出提示;
- 子应用:如果 waitForPermissions() 超时或 reject,可以 fallback 到本地缓存权限(记得带上时间戳校验),或者直接渲染只读视图;
- 所有 await 调用都应配上一个 timeout,例如
Promise.race([p, timeout(5000)]),防止某个子应用拖垮整个启动体验。
归根结底,async/await 不是为了炫技,而是提供一种将异步逻辑编排成线性代码的能力。用好它,权限对齐就不再是玄学,而是可预测、可调试的工程实践。
