1.引言
完成了簡單的增刪改查和分頁功能,是不是覺得少了點什么?
是的,少了權(quán)限管理。既然涉及到了權(quán)限,那我們就細(xì)化下任務(wù)清單的功能點:
- 登錄的用戶才能查看任務(wù)清單
- 用戶可以無限創(chuàng)建任務(wù)并分配給自己,但只能對自己創(chuàng)建的任務(wù)進行查找、修改
- 管理員可以創(chuàng)建任務(wù)并分配給他人
- 管理員具有刪除任務(wù)的權(quán)限
從以上的信息中,我們可以提取出以下權(quán)限:
- 任務(wù)分配權(quán)限
- 任務(wù)刪除權(quán)限
那我們下面就來實現(xiàn)針對這兩個權(quán)限的管理:
2. ABP權(quán)限管理的實現(xiàn)
2.1. 先來看看權(quán)限定義相關(guān)類型
從該類型依賴圖中我們可以看出:
- Permission:權(quán)限類,定義了權(quán)限的屬性。
- PermissionDictionary:繼承自Dictionary<string, Permission>類,存儲permission對象的字典。
-
IPermisssionDefinitionContext:定義了
CreatePermission和GetPermissionOrNull方法,分別用來創(chuàng)建和獲取權(quán)限。 - AuthorizationProvider:抽象類,在Module中實現(xiàn)該接口來定義權(quán)限。
-
PermissionManager:權(quán)限管理類,繼承自
PermissionDefinitionContextBase主要提供了獲取權(quán)限的系列方法。
2.2. 再來看看權(quán)限檢查相關(guān)類型
從該類型依賴圖中簡要梳理下核心類:
- IPermissionChecker:從接口命名就明白,這個是用來進行權(quán)限檢查的。我們可以自己實現(xiàn)它,也可以使用module-zero中給出的實現(xiàn)。
-
NullPermissionChecker:當(dāng)未實現(xiàn)
IPermissionChecker,系統(tǒng)會默認(rèn)使用此類將權(quán)限賦予給每個用戶。 - AbpAuthorizeAttribute:權(quán)限檢查特性,在應(yīng)用服務(wù)層標(biāo)注需要的權(quán)限。
-
AbpAllowAnonymousAttribute:匿名訪問特性,忽略權(quán)限檢查,用于應(yīng)用服務(wù)層。在mvc和webapi中使用
[AllowAnonymous]。 -
AuthorizationInterceptor:授權(quán)攔截器,用來攔截定義了
AbpAuthorizeAttribute特性的方法。
核心的幾個類就講到這里,具體的實現(xiàn),可以自行查看源碼一探究竟。
3. 定義權(quán)限
從上節(jié)中我們知道在不同的Module中通過繼承AuthorizationProvider來定義權(quán)限。ABP模板項目中已經(jīng)在領(lǐng)域?qū)樱簿褪?Core結(jié)尾的項目中,定義了xxxxxxAuthorizationProvider類繼承自AuthorizationProvider。
3.1. 權(quán)限包含哪些屬性
- Name:系統(tǒng)中 唯一的名字。最好為權(quán)限的名字定義一個const字符串而不是變量字符串。我們偏向使用“.”符號用于有層次的名字,但這不是強制的。你可以設(shè)置任何你喜歡的名字,唯一的一點是保證它必須是唯一的。
- DisplayName:用于以后在UI上顯示權(quán)限的本地化字符串。
- Description:用于以后在UI上顯示權(quán)限定義的本地化字符串。
- IsGrantedByDefault:表示該權(quán)限是否授予給所有登錄的用戶,除非該權(quán)限顯式禁止未授予給用戶。該值一般默認(rèn)為false。
- MultiTenancySides:對于多租戶應(yīng)用,租戶或者租主可以使用同一個權(quán)限。這是一個Flags枚舉,因此一個權(quán)限可以用于租戶和租主。
- featureDependency:可以用于聲明一個功能的依賴。因此,只有功能依賴滿足了,該權(quán)限才會被授予。
3.2. 定義任務(wù)分配和任務(wù)刪除權(quán)限
ABP模板項目默認(rèn)已經(jīng)在.Core/Authorization/目錄下創(chuàng)建了AuthorizationProvider的派生類xxxxAuthorizationProvider.cs
其中代碼為:
public override void SetPermissions(IPermissionDefinitionContext context)
{
//Common permissions
var pages = context.GetPermissionOrNull(PermissionNames.Pages);
if (pages == null)
pages = context.CreatePermission(PermissionNames.Pages, L("Pages"));
var users = pages.CreateChildPermission(PermissionNames.Pages_Users, L("Users"));
//Host permissions
var tenants = pages.CreateChildPermission(PermissionNames.Pages_Tenants, L("Tenants"),
multiTenancySides: MultiTenancySides.Host);
}
可以看出主要添加了三個權(quán)限,Pages、Users、Tenants。
依葫蘆畫瓢,咱們創(chuàng)建一個TaskAuthorizationProvider繼承自AuthorizationProvider。
代碼如下:
public class TaskAuthorizationProvider : AuthorizationProvider
{
public override void SetPermissions(IPermissionDefinitionContext context)
{
//Common permissions
var pages = context.GetPermissionOrNull(PermissionNames.Pages);
if (pages == null)
pages = context.CreatePermission(PermissionNames.Pages, L("Pages"));
//Tasks
var tasks = pages.CreateChildPermission(PermissionNames.Pages_Tasks, L("Tasks"));
tasks.CreateChildPermission(PermissionNames.Pages_Tasks_AssignPerson, L("AssignTaskToPerson"));
tasks.CreateChildPermission(PermissionNames.Pages_Tasks_Delete, L("DeleteTask"));
}
private static ILocalizableString L(string name)
{
return new LocalizableString(name, LearningMpaAbpConsts.LocalizationSourceName);
}
}
并在常量PermissionNames類中維護唯一用戶名。
public const string Pages_Tasks = "Pages.Pages.Tasks";
public const string Pages_Tasks_AssignPerson = "Pages.Pages.Tasks.AssignPerson";
public const string Pages_Tasks_Delete = "Pages.Pages.Tasks.Delete";
需要本地化顯示的,則需要分別維護本地化xml文件,這里忽略此步。
3.3. 注冊TaskAuthorizationProvider
定位到.Core/xxxCoreModule.cs文件中發(fā)現(xiàn)Abp已經(jīng)注冊了默認(rèn)實現(xiàn)的xxxxAuthorizationProvider.cs。
Configuration.Authorization.Providers.Add<LearningMpaAbpAuthorizationProvider>();
因為ABP是模塊化的,當(dāng)你需要為自己自定義的模塊定義權(quán)限時,
不要忘記在自己定義的Module中注冊自己實現(xiàn)的AuthorizationProvider(授權(quán)提供器)。
所以,還是依葫蘆畫瓢,注冊TaskAuthorizationProvider:
Configuration.Authorization.Providers.Add<TaskAuthorizationProvider>();
4. 權(quán)限檢查
4.1. 使用[AbpAuthorize]特性
在應(yīng)用服務(wù)層中直接使用[AbpAuthorize]特性,但在MVC控制器中使用[AbpMvcAuthorize]特性,Web API控制器中使用[AbpApiAuthorize]。
我們在應(yīng)用服務(wù)層給刪除操作定義權(quán)限檢查:
[AbpAuthorize(PermissionNames.Pages_Tasks_Delete)]
public void DeleteTask(int taskId)
{
var task = _taskRepository.Get(taskId);
if (task != null)
_taskRepository.Delete(task);
}
F5運行,去刪除某一任務(wù),將獲得以下提示:
4.2. 使用IPermissionChecker
刪除任務(wù)是一個獨立的操作,所以我們可以直接使用上面特性聲明的方式來進行權(quán)限檢查。
但是針對【任務(wù)分配】這個操作,它其實是任務(wù)創(chuàng)建、編輯中的一個子操作。所以我們不能直接使用特性聲明的方式來進行權(quán)限檢查。這一次我們使用IPermissionChecker來進行檢查。
4.2.1. 應(yīng)用服務(wù)層注入了PermissionChecker屬性
因為授權(quán)一般在應(yīng)用服務(wù)層中進行,所以ABP默認(rèn)在ApplicationService基類注入并定義了PermissionChecker屬性。這樣,在應(yīng)用服務(wù)層就可以直接使用PermissionChecker屬性進行權(quán)限檢查。
4.2.2. 修改創(chuàng)建任務(wù)方法,加入權(quán)限檢查
public int CreateTask(CreateTaskInput input)
{
//We can use Logger, it's defined in ApplicationService class.
Logger.Info("Creating a task for input: " + input);
//獲取當(dāng)前用戶
var currentUser = AsyncHelper.RunSync(this.GetCurrentUserAsync);
//判斷用戶是否有權(quán)限
if (input.AssignedPersonId.HasValue && input.AssignedPersonId.Value != currentUser.Id)
PermissionChecker.Authorize(PermissionNames.Pages_Tasks_AssignPerson);
var task = Mapper.Map<Task>(input);
int result = _taskRepository.InsertAndGetId(task);
//只有創(chuàng)建成功才發(fā)送郵件和通知
if (result > 0)
{
task.CreationTime = Clock.Now;
if (input.AssignedPersonId.HasValue)
{
task.AssignedPerson = _userRepository.Load(input.AssignedPersonId.Value);
var message = "You hava been assigned one task into your todo list.";
//TODO:需要重新配置QQ郵箱密碼
//SmtpEmailSender emailSender = new SmtpEmailSender(_smtpEmialSenderConfig);
//emailSender.Send("ysjshengjie@qq.com", task.AssignedPerson.EmailAddress, "New Todo item", message);
_notificationPublisher.Publish("NewTask", new MessageNotificationData(message), null,
NotificationSeverity.Info, new[] { task.AssignedPerson.ToUserIdentifier() });
}
}
其中權(quán)限檢查代碼為:PermissionChecker.Authorize(PermissionNames.Pages_Tasks_AssignPerson);這種方式當(dāng)沒有權(quán)限時,將直接拋出異常。當(dāng)啟用<customErrors mode="On" />時,將跳轉(zhuǎn)至Error視圖并顯示以下信息。
4.2.3. 修改編輯任務(wù)方法,加入權(quán)限檢查
public void UpdateTask(UpdateTaskInput input)
{
//We can use Logger, it's defined in ApplicationService base class.
Logger.Info("Updating a task for input: " + input);
//獲取當(dāng)前用戶
var currentUser = AsyncHelper.RunSync(this.GetCurrentUserAsync);
//獲取是否有權(quán)限
bool canAssignTaskToOther = PermissionChecker.IsGranted(PermissionNames.Pages_Tasks_AssignPerson);
//如果任務(wù)已經(jīng)分配且未分配給自己,且不具有分配任務(wù)權(quán)限,則拋出異常
if (input.AssignedPersonId.HasValue && input.AssignedPersonId.Value != currentUser.Id && !canAssignTaskToOther)
{
throw new AbpAuthorizationException("沒有分配任務(wù)給他人的權(quán)限!");
}
var updateTask = Mapper.Map<Task>(input);
_taskRepository.Update(updateTask);
}
其中權(quán)限檢查代碼為PermissionChecker.IsGranted(PermissionNames.Pages_Tasks_AssignPerson);,IsGranted()方法返回true or false。
4.2.4. Razor頁面如何進行權(quán)限檢查
視圖基類定義了IsGranted方法來檢查當(dāng)前用戶是否具有權(quán)限。我們可以在_List.cshtml.cs中加入以下代碼來控制是否顯示刪除按鈕。
@if (IsGranted(PermissionNames.Pages_Tasks_Delete))
{
<button type="button" class="btn btn-success" onclick="deleteTask(@task.Id);">Delete</button>
}
4.2.5 js代碼如何進行權(quán)限檢查
abp.auth命名空間下定義了權(quán)限相關(guān)的API,在js中我們可以直接使用。
這里不再舉例。
5. 將新增的權(quán)限賦予給Admin
完成了權(quán)限的定義和檢查,我們?nèi)绾芜M行權(quán)限設(shè)置呢,如何為角色或用戶賦予權(quán)限呢?
在ABP模板項目中暫未提供用戶角色權(quán)限管理功能,但在AbpZero中提供了該功能,支持按用戶或角色賦予權(quán)限。那咋辦呢?
咱們退而求其次,在數(shù)據(jù)庫初始化的時候,將權(quán)限賦給Admin。
但是我們的數(shù)據(jù)庫已經(jīng)建立好了啊?
反正是測試庫,刪掉重建唄。
5.1. 刪除數(shù)據(jù)庫
怎么刪數(shù)據(jù)庫,自己應(yīng)該知道吧。
5.2. 代碼中為Admin賦予權(quán)限
打開基礎(chǔ)設(shè)施層,即以EntityFramework結(jié)尾的項目中,定位到Migrations\SeedData文件夾,分別在
HostRoleAndUserCreator和TenantRoleAndUserBuilder兩個類中添加以下代碼:
var taskPermissions = PermissionFinder.GetAllPermissions(new TaskAuthorizationProvider()).ToList();
permissions.AddRange(taskPermissions);
5.3. 重新編譯整個項目,執(zhí)行Update-Database
查看數(shù)據(jù)庫,發(fā)現(xiàn)已經(jīng)將Permission賦予給了admin
6.總結(jié)
本節(jié)主要講解了ABP權(quán)限管理的基本實現(xiàn)方式,以及如何定義、使用和添加權(quán)限。
在ABP模板項目中暫未提供用戶角色權(quán)限管理功能,但在AbpZero中提供了該功能,支持按用戶或角色賦予權(quán)限。這一節(jié)先暫時不表,等我研究通徹了再和大家娓娓道來。
遺留問題:
- 在模態(tài)框上如何彈出異常信息?
