做网站要源码吗,建站优化内容,深圳建设网站和公众号,微信公众号免费模板素材网站点击上方蓝字关注我们0.简介Abp 本身集成了一套权限验证体系#xff0c;通过 ASP.NET Core 的过滤器与 Castle 的拦截器进行拦截请求#xff0c;并进行权限验证。在 Abp 框架内部#xff0c;权限分为两块#xff0c;一个是功能(Feature)#xff0c;一个是权限项(Permissio… 点击上方蓝字关注我们0.简介Abp 本身集成了一套权限验证体系通过 ASP.NET Core 的过滤器与 Castle 的拦截器进行拦截请求并进行权限验证。在 Abp 框架内部权限分为两块一个是功能(Feature)一个是权限项(Permission)在更多的时候两者仅仅是概念不同而已大体处理流程还是一样的。由于 Abp 本身是针对多租户架构进行设计的功能是相对于租户而言比如针对 A 租户他每月的短信发送配额为 10000 条而针对 B 租户其配额为 5000 条可能 C 租户该功能都没有开通。本篇文章仅针对基本的验证机制进行解析后续文章会进行详解。0.1 验证流程图1.启动流程1.1 流程图1.2 代码流程首先在注入 Abp 框架的时候通过注入过滤器一起将权限验证过滤器进行了注入。internal static class AbpMvcOptionsExtensions
{// ... 其他代码private static void AddFilters(MvcOptions options){// ... 其他注入的过滤器options.Filters.AddService(typeof(AbpAuthorizationFilter));// ... 其他注入的过滤器}// ... 其他代码
}
Abp 除了拦截验证 API 接口同时也通过 Castle Windsor Interceptor 来验证普通类型的方法来检测当前用户是否有权限进行调用。拦截器的注册则是存放在 AbpBootstrapper 对象初始化的时候通过 AddInterceptorRegistrars() 方法注入 Abp 自带的拦截器对象。private AbpBootstrapper([NotNull] Type startupModule, [CanBeNull] ActionAbpBootstrapperOptions optionsAction null)
{Check.NotNull(startupModule, nameof(startupModule));var options new AbpBootstrapperOptions();optionsAction?.Invoke(options);// 其他初始化代码// 判断用户在启用 Abp 框架的是时候是否禁用了所有的拦截器if (!options.DisableAllInterceptors){// 初始化拦截器AddInterceptorRegistrars();}
}private void AddInterceptorRegistrars()
{// 参数验证拦截器注册ValidationInterceptorRegistrar.Initialize(IocManager);// 审计信息记录拦截器注册AuditingInterceptorRegistrar.Initialize(IocManager);// 实体变更追踪拦截器注册EntityHistoryInterceptorRegistrar.Initialize(IocManager);// 工作单元拦截器注册UnitOfWorkRegistrar.Initialize(IocManager);// 授权拦截器注册AuthorizationInterceptorRegistrar.Initialize(IocManager);
}
Abp 通过注入过滤器与拦截器就能够从源头验证并控制权限校验逻辑以上就是 Abp 在启动时所做的操作。2.代码分析总体来说Abp 针对权限的验证就是拦截检测整体思路即是这样只是实现可能略微复杂请耐心往下看。2.1 权限拦截器与权限过滤器首先我们从入口点开始分析代码在上一节我们说过 Abp 通过拦截器与过滤器来实现权限的拦截与处理那么在其内部是如何进行处理的呢其实很简单在权限拦截器与权限过滤器的内部实现都使用了 IAuthorizationHelper 的 AuthorizeAsync() 方法来进行权限校验。2.1.1 权限过滤器代码实现public class AbpAuthorizationFilter : IAsyncAuthorizationFilter, ITransientDependency
{public ILogger Logger { get; set; }// 权限验证类这个才是真正针对权限进行验证的对象private readonly IAuthorizationHelper _authorizationHelper;// 异常包装器这个玩意儿在我的《[Abp 源码分析]十、异常处理》有讲主要是用来封装没有授权时返回的错误信息private readonly IErrorInfoBuilder _errorInfoBuilder;// 事件总线处理器同样在我的《[Abp 源码分析]九、事件总线》有讲在这里用于触发一个未授权请求引发的事件用户可以监听此事件来进行自己的处理private readonly IEventBus _eventBus;// 构造注入public AbpAuthorizationFilter(IAuthorizationHelper authorizationHelper,IErrorInfoBuilder errorInfoBuilder,IEventBus eventBus){_authorizationHelper authorizationHelper;_errorInfoBuilder errorInfoBuilder;_eventBus eventBus;Logger NullLogger.Instance;}public async Task OnAuthorizationAsync(AuthorizationFilterContext context){// 如果注入了 IAllowAnonymousFilter 过滤器则允许所有匿名请求if (context.Filters.Any(item item is IAllowAnonymousFilter)){return;}// 如果不是一个控制器方法则直接返回if (!context.ActionDescriptor.IsControllerAction()){return;}// 开始使用 IAuthorizationHelper 来进行权限校验try{await _authorizationHelper.AuthorizeAsync(context.ActionDescriptor.GetMethodInfo(),context.ActionDescriptor.GetMethodInfo().DeclaringType);}// 如果是未授权异常的处理逻辑catch (AbpAuthorizationException ex){// 记录日志Logger.Warn(ex.ToString(), ex);// 触发异常事件_eventBus.Trigger(this, new AbpHandledExceptionData(ex));// 如果接口的返回类型为 ObjectResult则采用 AjaxResponse 对象进行封装信息if (ActionResultHelper.IsObjectResult(context.ActionDescriptor.GetMethodInfo().ReturnType)){context.Result new ObjectResult(new AjaxResponse(_errorInfoBuilder.BuildForException(ex), true)){StatusCode context.HttpContext.User.Identity.IsAuthenticated? (int) System.Net.HttpStatusCode.Forbidden: (int) System.Net.HttpStatusCode.Unauthorized};}else{context.Result new ChallengeResult();}}// 其他异常则显示为内部异常信息catch (Exception ex){Logger.Error(ex.ToString(), ex);_eventBus.Trigger(this, new AbpHandledExceptionData(ex));if (ActionResultHelper.IsObjectResult(context.ActionDescriptor.GetMethodInfo().ReturnType)){context.Result new ObjectResult(new AjaxResponse(_errorInfoBuilder.BuildForException(ex))){StatusCode (int) System.Net.HttpStatusCode.InternalServerError};}else{//TODO: How to return Error page?context.Result new StatusCodeResult((int)System.Net.HttpStatusCode.InternalServerError);}}}
}
2.1.2 权限拦截器初始化绑定权限拦截器在 Abp 框架初始化完成的时候就开始监听了组件注册事件只要被注入的类型实现了 AbpAuthorizeAttribute 特性与 RequiresFeatureAttribute 特性都会被注入 AuthorizationInterceptor 拦截器。internal static class AuthorizationInterceptorRegistrar
{public static void Initialize(IIocManager iocManager){// 监听 DI 组件注册事件iocManager.IocContainer.Kernel.ComponentRegistered Kernel_ComponentRegistered; }private static void Kernel_ComponentRegistered(string key, IHandler handler){// 判断注入的类型是否符合要求if (ShouldIntercept(handler.ComponentModel.Implementation)){// 符合要求针对该组件添加权限拦截器handler.ComponentModel.Interceptors.Add(new InterceptorReference(typeof(AuthorizationInterceptor))); }}private static bool ShouldIntercept(Type type){if (SelfOrMethodsDefinesAttributeAbpAuthorizeAttribute(type)){return true;}if (SelfOrMethodsDefinesAttributeRequiresFeatureAttribute(type)){return true;}return false;}private static bool SelfOrMethodsDefinesAttributeTAttr(Type type){// 判断传入的 Type 有定义 TAttr 类型的特性if (type.GetTypeInfo().IsDefined(typeof(TAttr), true)){return true;}// 或者说该类型的所有公开的方法是否有方法标注了 TAttr 类型的特性return type.GetMethods(BindingFlags.Instance | BindingFlags.Public | BindingFlags.NonPublic).Any(m m.IsDefined(typeof(TAttr), true));}
}
2.1.3 权限拦截器实现Abp 框架针对权限拦截器的实现则是简单了许多只是在被拦截的方法在执行的时候会直接使用 IAuthorizationHelper 进行权限验证。public class AuthorizationInterceptor : IInterceptor
{private readonly IAuthorizationHelper _authorizationHelper;public AuthorizationInterceptor(IAuthorizationHelper authorizationHelper){_authorizationHelper authorizationHelper;}public void Intercept(IInvocation invocation){// 使用 IAuthorizationHelper 进行权限验证_authorizationHelper.Authorize(invocation.MethodInvocationTarget, invocation.TargetType);invocation.Proceed();}
}
2.2 权限特性在 Abp 框架里面定义了两组特性第一个是 AbpMvcAuthorizeAttribute 适用于 MVC 控制器它是直接继承了 ASP .NET Core 自带的权限验证特性 AuthorizeAttribute当控制器或者控制器内部的方法标注了该特性就会进入之前 Abp 定义的权限过滤器 AbpAuthorizationFilter 内部。第二种特性则是 AbpAuthorizeAttribute 该特性适用于应用服务层也就是实现了 IApplicationService 接口的类型所使用的。它们两个的内部定义基本一样传入一个或者多哦个具体的权限项以便给 IAuthorizationHelper 作验证使用。在 Abp 框架内部每一个权限其实就是一个字符串比如说用户资料新增是一个权限那么你可以直接创建一个 Administration.UserManagement.CreateUser 字符作为其权限项那么代码示例就如下[AbpAuthorize(Administration.UserManagement.CreateUser)]
public void CreateUser(CreateUserInput input)
{// 如果用户没有 Administration.UserManagement.CreateUser 权限则不会进入到本方法
}
下面是 AbpAuthorizeAttribute 权限特性的定义另外一个 MVC 权限特性定义也是一样的[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple true)]
public class AbpAuthorizeAttribute : Attribute, IAbpAuthorizeAttribute
{// 特性拥有的权限项集合public string[] Permissions { get; }// 用于确定是否需要验证用户是否拥有 Permission 数组内所有权限项如果为 True 则用户需要拥有所有权限才能够操作接口如果为 False 的话用户只要拥有其中一个权限项则可以通过验证默认值为Falsepublic bool RequireAllPermissions { get; set; }public AbpAuthorizeAttribute(params string[] permissions){Permissions permissions;}
}
权限特性一般都会打在你的控制器/应用服务层的类定义或者方法之上当你为你的 API 接口标注了权限特性那么当前请求的用户没有所需要的权限则一律会被拦截器/过滤器阻止请求。2.3 权限验证当如果用户请求的方法或者控制器是标注了授权特性的话都会通过 IAuthorizationHelper 进行验证它一共有两个公开方法。public interface IAuthorizationHelper
{// 判断用户是否拥有一组权限特性所标注的权限Task AuthorizeAsync(IEnumerableIAbpAuthorizeAttribute authorizeAttributes);// 判断用户是否拥有被调用的方法所标注的权限Task AuthorizeAsync(MethodInfo methodInfo, Type type);
}
在其默认的实现当中注入了两个相对重要的组件第一个是 IAbpSession它是 Abp 框架定义的用户会话状态如果当前用户处于登录状态的时候其内部必定有值在这里主要用于判断用户是否登录。第二个则是 IPermissionChecker 它则是用于具体的检测逻辑如果说 IAuthorizationHelper 是用来提供权限验证的工具那么 IPermissionChecker 就是权限验证的核心在 IPermissionChecker 内部则是真正的对传入的权限进行了验证逻辑。IPermissionChecker 本身只有两个方法都返回的 bool 值有权限则为 true 没有则为 false其接口定义如下// 权限检测器
public interface IPermissionChecker
{// 传入一个权限项的值判断当前用户是否拥有该权限Taskbool IsGrantedAsync(string permissionName);// 传入一个用户标识判断该用户是否拥有制定的权限项Taskbool IsGrantedAsync(UserIdentifier user, string permissionName);
}
可以看到 Abp 框架本身针对于设计来说都考虑了各个组件的可替换性与扩展性你可以随时通过替换 IAuthorizationHelper 或者是 IPermissionChecker 的实现来达到自己想要的效果这点值得我们在编写代码的时候学习。说了这么多下面我们来看一下 IAuthorizationHelper 的具体实现吧public class AuthorizationHelper : IAuthorizationHelper, ITransientDependency
{public IAbpSession AbpSession { get; set; }public IPermissionChecker PermissionChecker { get; set; }public IFeatureChecker FeatureChecker { get; set; }public ILocalizationManager LocalizationManager { get; set; }private readonly IFeatureChecker _featureChecker;private readonly IAuthorizationConfiguration _authConfiguration;public AuthorizationHelper(IFeatureChecker featureChecker, IAuthorizationConfiguration authConfiguration){_featureChecker featureChecker;_authConfiguration authConfiguration;AbpSession NullAbpSession.Instance;PermissionChecker NullPermissionChecker.Instance;LocalizationManager NullLocalizationManager.Instance;}public virtual async Task AuthorizeAsync(IEnumerableIAbpAuthorizeAttribute authorizeAttributes){// 判断是否启用了授权系统没有启用则直接跳过不做验证if (!_authConfiguration.IsEnabled){return;}// 如果当前的用户会话状态其 SessionId 没有值则说明用户没有登录抛出授权验证失败异常if (!AbpSession.UserId.HasValue){throw new AbpAuthorizationException(LocalizationManager.GetString(AbpConsts.LocalizationSourceName, CurrentUserDidNotLoginToTheApplication));}// 遍历所有授权特性通过 IPermissionChecker 来验证用户是否拥有这些特性所标注的权限foreach (var authorizeAttribute in authorizeAttributes){await PermissionChecker.AuthorizeAsync(authorizeAttribute.RequireAllPermissions, authorizeAttribute.Permissions);}}// 授权过滤器与授权拦截器调用的方法传入一个方法定义与方法所在的类的类型public virtual async Task AuthorizeAsync(MethodInfo methodInfo, Type type){// 检测产品功能await CheckFeatures(methodInfo, type);// 检测权限await CheckPermissions(methodInfo, type);}protected virtual async Task CheckFeatures(MethodInfo methodInfo, Type type){var featureAttributes ReflectionHelper.GetAttributesOfMemberAndTypeRequiresFeatureAttribute(methodInfo, type);if (featureAttributes.Count 0){return;}foreach (var featureAttribute in featureAttributes){// 检查当前用户是否启用了被调用方法标注上面的功能await _featureChecker.CheckEnabledAsync(featureAttribute.RequiresAll, featureAttribute.Features);}}protected virtual async Task CheckPermissions(MethodInfo methodInfo, Type type){// 判断是否启用了授权系统没有启用则直接跳过不做验证if (!_authConfiguration.IsEnabled){return;}// 判断方法或者控制器类上是否标注了匿名访问特性如果标注了不做权限验证if (AllowAnonymous(methodInfo, type)){return;}// 获得方法和类上面定义的所有权限特性数组var authorizeAttributes ReflectionHelper.GetAttributesOfMemberAndType(methodInfo, type).OfTypeIAbpAuthorizeAttribute().ToArray();// 如果一个都不存在跳过验证if (!authorizeAttributes.Any()){return;}// 传入所有权限特性调用另外一个重载方法使用 IPermissionChecker 针对这些特性进行具体验证await AuthorizeAsync(authorizeAttributes);}private static bool AllowAnonymous(MemberInfo memberInfo, Type type){return ReflectionHelper.GetAttributesOfMemberAndType(memberInfo, type).OfTypeIAbpAllowAnonymousAttribute().Any();}
}
看完上面你似乎并没有看到哪儿有抛出 AbpAuthorizationException 的地方这是因为 Abp 给 IPermissionChecker 添加了一个扩展方法叫做 AuthorizeAsync() 看他的具体实现你就知道它在这个扩展方法里面才真正调用了 IPermissionChecker.IsGrantedAsync() 方法进行权限验证。public static async Task AuthorizeAsync(this IPermissionChecker permissionChecker, bool requireAll, params string[] permissionNames)
{// 这里还是调用的一个扩展方法其内部是遍历传入的权限项集合针对每一个权限进行检测if (await IsGrantedAsync(permissionChecker, requireAll, permissionNames)){return;}// 这儿呢就是本地化权限的名称用于抛出异常的时候给前端展示用的里面提列了你缺少的权限项有哪些var localizedPermissionNames LocalizePermissionNames(permissionChecker, permissionNames);if (requireAll){throw new AbpAuthorizationException(string.Format(L(permissionChecker,AllOfThesePermissionsMustBeGranted,Required permissions are not granted. All of these permissions must be granted: {0}),string.Join(, , localizedPermissionNames)));}else{throw new AbpAuthorizationException(string.Format(L(permissionChecker,AtLeastOneOfThesePermissionsMustBeGranted,Required permissions are not granted. At least one of these permissions must be granted: {0}),string.Join(, , localizedPermissionNames)));}
}
如果你感觉自己快被绕晕了也不必惊慌...因为 IPermissionChecker 本身只能针对单个权限进行检查所以这里通过扩展了 IPermissionChecker 方法使其能够一次检验一个集合而已。3.结语本篇文章主要解析了 Abp 框架针对权限验证所做的基本操作整体思路还是十分简单的在 Abp 基本框架没有涉及到用户与角色的具体权限控制这部分的内容是存放在 Abp.Zero 模块当中的下一篇文章将会结合 Abp.Zero 来进行更加详细的讲解权限与功能的实现。作者myzony出处https://www.cnblogs.com/myzony/p/9466162.html公众号“码侠江湖”所发表内容注明来源的版权归原出处所有无法查证版权的或者未注明出处的均来自网络系转载转载的目的在于传递更多信息版权属于原作者。如有侵权请联系笔者会第一时间删除处理扫描二维码获取更多精彩码侠江湖喜欢就点个在看再走吧
