ABP入門系列目錄——學習Abp框架之實操演練
源碼路徑:Github-LearningMpaAbp
完成了簡單的增刪改查和分頁功能,是不是覺得少了點什么?
是的,少了權限管理。既然涉及到了權限,那我們就細化下任務清單的功能點:
- 登錄的用戶才能查看任務清單
- 用戶可以無限創建任務並分配給自己,但只能對自己創建的任務進行查找、修改
- 管理員可以創建任務並分配給他人
- 管理員具有刪除任務的權限
從以上的信息中,我們可以提取出以下權限:
- 任務分配權限
- 任務刪除權限
那我們下面就來實現針對這兩個權限的管理:
一、ABP權限管理的實現
1、先來看看權限定義相關類型:
從該類型依賴圖中我們可以看出:
- Permission:權限類,定義了權限的屬性。
- PermissionDictionary:繼承自Dictionary<string, Permission>類,存儲permission對象的字典。
- IPermisssionDefinitionContext:定義了
CreatePermission和GetPermissionOrNull方法,分別用來創建和獲取權限。 - AuthorizationProvider:抽象類,在Module中實現該接口來定義權限。
- PermissionManager:權限管理類,繼承自
PermissionDefinitionContextBase主要提供了獲取權限的系列方法。
2、再來看看權限檢查相關類型
從該類型依賴圖中簡要梳理下核心類:
- IPermissionChecker:從接口命名就明白,這個是用來進行權限檢查的。我們可以自己實現它,也可以使用module-zero中給出的實現。
- NullPermissionChecker:當未實現
IPermissionChecker,系統會默認使用此類將權限賦予給每個用戶。 - AbpAuthorizeAttribute:權限檢查特性,在應用服務層標注需要的權限。
- AbpAllowAnonymousAttribute:匿名訪問特性,忽略權限檢查,用於應用服務層。在mvc和webapi中使用
[AllowAnonymous]。 - AuthorizationInterceptor:授權攔截器,用來攔截定義了
AbpAuthorizeAttribute特性的方法。
核心的幾個類就講到這里,具體的實現,可以自行查看源碼一探究竟。
二、定義權限
從上節中我們知道在不同的Module中通過繼承AuthorizationProvider來定義權限。ABP模板項目中已經在領域層,也就是.Core結尾的項目中,定義了xxxxxxAuthorizationProvider類繼承自AuthorizationProvider。
1、權限包含哪些屬性
- Name:系統中 唯一的名字。最好為權限的名字定義一個const字符串而不是變量字符串。我們偏向使用“.”符號用於有層次的名字,但這不是強制的。你可以設置任何你喜歡的名字,唯一的一點是保證它必須是唯一的。
- DisplayName:用於以后在UI上顯示權限的本地化字符串。
- Description:用於以后在UI上顯示權限定義的本地化字符串。
- IsGrantedByDefault:表示該權限是否授予給所有登錄的用戶,除非該權限顯式禁止未授予給用戶。該值一般默認為false。
- MultiTenancySides:對於多租戶應用,租戶或者租主可以使用同一個權限。這是一個Flags枚舉,因此一個權限可以用於租戶和租主。
- featureDependency:可以用於聲明一個功能的依賴。因此,只有功能依賴滿足了,該權限才會被授予。
2、定義任務分配和任務刪除權限
ABP模板項目默認已經在.Core/Authorization/目錄下創建了AuthorizationProvider的派生類xxxxAuthorizationProvider.cs
其中代碼為:
public override void SetPermissions(IPermissionDefinitionContext context)
{
//Common permissions
var pages = context.GetPermissionOrNull(PermissionNames.Pages);
if (pages == null)
pages = context.CreatePermission(PermissionNames.Pages, L("Pages"));
var users = pages.CreateChildPermission(PermissionNames.Pages_Users, L("Users"));
//Host permissions
var tenants = pages.CreateChildPermission(PermissionNames.Pages_Tenants, L("Tenants"),
multiTenancySides: MultiTenancySides.Host);
}
可以看出主要添加了三個權限,Pages、Users、Tenants。
依葫蘆畫瓢,咱們創建一個TaskAuthorizationProvider繼承自AuthorizationProvider。
代碼如下:
public class TaskAuthorizationProvider : AuthorizationProvider
{
public override void SetPermissions(IPermissionDefinitionContext context)
{
//Common permissions
var pages = context.GetPermissionOrNull(PermissionNames.Pages);
if (pages == null)
pages = context.CreatePermission(PermissionNames.Pages, L("Pages"));
//Tasks
var tasks = pages.CreateChildPermission(PermissionNames.Pages_Tasks, L("Tasks"));
tasks.CreateChildPermission(PermissionNames.Pages_Tasks_AssignPerson, L("AssignTaskToPerson"));
tasks.CreateChildPermission(PermissionNames.Pages_Tasks_Delete, L("DeleteTask"));
}
private static ILocalizableString L(string name)
{
return new LocalizableString(name, LearningMpaAbpConsts.LocalizationSourceName);
}
}
並在常量PermissionNames類中維護唯一用戶名。
public const string Pages_Tasks = "Pages.Pages.Tasks";
public const string Pages_Tasks_AssignPerson = "Pages.Pages.Tasks.AssignPerson";
public const string Pages_Tasks_Delete = "Pages.Pages.Tasks.Delete";
需要本地化顯示的,則需要分別維護本地化xml文件,這里忽略此步。
3、注冊TaskAuthorizationProvider
定位到.Core/xxxCoreModule.cs文件中發現Abp已經為默認實現的的xxxxAuthorizationProvider.cs注冊了。
Configuration.Authorization.Providers.Add<LearningMpaAbpAuthorizationProvider>();
因為ABP是模塊化的,當你需要為自己自定義的模塊定義權限時,
不要忘記在自己定義的Module中注冊自己實現的AuthorizationProvider(授權提供器)。
所以,還是依葫蘆畫瓢,注冊TaskAuthorizationProvider
Configuration.Authorization.Providers.Add<TaskAuthorizationProvider>();
三、權限檢查
1、使用[AbpAuthorize]特性
在應用服務層中直接使用[AbpAuthorize]特性,但在MVC控制器中使用[AbpMvcAuthorize]特性,Web API控制器中使用[AbpApiAuthorize]。
我們在應用服務層給刪除操作定義權限檢查:
[AbpAuthorize(PermissionNames.Pages_Tasks_Delete)]
public void DeleteTask(int taskId)
{
var task = _taskRepository.Get(taskId);
if (task != null)
_taskRepository.Delete(task);
}
F5運行,去刪除某一任務,將獲得以下提示:
2、使用IPermissionChecker
刪除任務是一個獨立的操作,所以我們可以直接使用上面特性聲明的方式來進行權限檢查。
但是針對【任務分配】這個操作,它其實是任務創建、編輯中的一個子操作。所以我們不能直接使用特性聲明的方式來進行權限檢查。這一次我們使用IPermissionChecker來進行檢查。
2.1、應用服務層注入了PermissionChecker屬性
因為授權一般在應用服務層中進行,所以ABP默認在ApplicationService基類注入並定義了PermissionChecker屬性。這樣,在應用服務層就可以直接使用PermissionChecker屬性進行權限檢查。
2.2、修改創建任務方法,加入權限檢查:
public int CreateTask(CreateTaskInput input)
{
//We can use Logger, it's defined in ApplicationService class.
Logger.Info("Creating a task for input: " + input);
//獲取當前用戶
var currentUser = AsyncHelper.RunSync(this.GetCurrentUserAsync);
//判斷用戶是否有權限
if (input.AssignedPersonId.HasValue && input.AssignedPersonId.Value != currentUser.Id)
PermissionChecker.Authorize(PermissionNames.Pages_Tasks_AssignPerson);
var task = Mapper.Map<Task>(input);
int result = _taskRepository.InsertAndGetId(task);
//只有創建成功才發送郵件和通知
if (result > 0)
{
task.CreationTime = Clock.Now;
if (input.AssignedPersonId.HasValue)
{
task.AssignedPerson = _userRepository.Load(input.AssignedPersonId.Value);
var message = "You hava been assigned one task into your todo list.";
//TODO:需要重新配置QQ郵箱密碼
//SmtpEmailSender emailSender = new SmtpEmailSender(_smtpEmialSenderConfig);
//emailSender.Send("ysjshengjie@qq.com", task.AssignedPerson.EmailAddress, "New Todo item", message);
_notificationPublisher.Publish("NewTask", new MessageNotificationData(message), null,
NotificationSeverity.Info, new[] { task.AssignedPerson.ToUserIdentifier() });
}
}
其中權限檢查代碼為:PermissionChecker.Authorize(PermissionNames.Pages_Tasks_AssignPerson);這種方式當沒有權限時,將直接拋出異常。當啟用<customErrors mode="On" />時,將跳轉至Error視圖並顯示以下信息。
2.3、修改編輯任務方法,加入權限檢查:
public void UpdateTask(UpdateTaskInput input)
{
//We can use Logger, it's defined in ApplicationService base class.
Logger.Info("Updating a task for input: " + input);
//獲取當前用戶
var currentUser = AsyncHelper.RunSync(this.GetCurrentUserAsync);
//獲取是否有權限
bool canAssignTaskToOther = PermissionChecker.IsGranted(PermissionNames.Pages_Tasks_AssignPerson);
//如果任務已經分配且未分配給自己,且不具有分配任務權限,則拋出異常
if (input.AssignedPersonId.HasValue && input.AssignedPersonId.Value != currentUser.Id && !canAssignTaskToOther)
{
throw new AbpAuthorizationException("沒有分配任務給他人的權限!");
}
var updateTask = Mapper.Map<Task>(input);
_taskRepository.Update(updateTask);
}
其中權限檢查代碼為PermissionChecker.IsGranted(PermissionNames.Pages_Tasks_AssignPerson);,IsGranted()方法返回true or false。
2.4、Razor頁面如何進行權限檢查
視圖基類定義了IsGranted方法來檢查當前用戶是否具有權限。我們可以在_List.cshtml.cs中加入以下代碼來控制是否顯示刪除按鈕。
@if (IsGranted(PermissionNames.Pages_Tasks_Delete))
{
<button type="button" class="btn btn-success" onclick="deleteTask(@task.Id);">Delete</button>
}
2.5、js代碼如何進行權限檢查
abp.auth命名空間下定義了權限相關的API,在js中我們可以直接使用。
這里不再舉例。
四、將新增的權限賦予給Admin
完成了權限的定義和檢查,我們如何進行權限設置呢,如何為角色或用戶賦予權限呢?
在ABP模板項目中暫未提供用戶角色權限管理功能,但在AbpZero中提供了該功能,支持按用戶或角色賦予權限。那咋辦呢?
咱們退而求其次,在數據庫初始化的時候,將權限賦給Admin。
但是我們的數據庫已經建立好了啊?
反正是測試庫,刪掉重建唄。
1、刪除數據庫
怎么刪數據庫,自己應該知道吧。
2、代碼中為Admin賦予權限
打開基礎設施層,即以EntityFramework結尾的項目中,定位到Migrations\SeedData文件夾,分別在
HostRoleAndUserCreator和TenantRoleAndUserBuilder兩個類中添加以下代碼:
var taskPermissions = PermissionFinder.GetAllPermissions(new PersonAppAuthorizationProvider()).ToList();
permissions.AddRange(taskPermissions);
3、重新編譯整個項目,執行Update-Database
查看數據庫,發現已經將Permission賦予給了admin
總結:
本節主要講解了ABP權限管理的基本實現方式,以及如何定義、使用和添加權限。
在ABP模板項目中暫未提供用戶角色權限管理功能,但在AbpZero中提供了該功能,支持按用戶或角色賦予權限。這一節先暫時不表,等我研究通徹了再和大家娓娓道來。
遺留問題:
- 在模態框上如何彈出異常信息?