網站首頁 編程語言 正文
在業務系統需求規劃過程中,通常對于諸如組織機構、用戶和角色等這種基礎功能,通常是將這部分功能規劃到通用子域中,這也說明了,對于這部分功能來講,是系統的基石,整個業務體系是建立于這部分基石之上的,當然,還有諸如多語言、設置管理、認證和授權等。對于這部分功能,ABP中存在這些概念,并且通過Module Zero模塊完成了這些概念。
一、角色訪問控制之RBAC
RBAC:Role Based Access Control,基于角色的訪問控制,這在目前大多數軟件中來講已經算得上是普遍應用了,最常見的結構如下,結構簡單,設計思路清晰。
但是也存在其它升級版的設計,諸如用戶權限表、角色組、用戶組的概念等,具體分類有RBAC0、RBAC1、RBAC2等,后者功能越來越強大,也越來越復雜。
- RBAC0:是RBAC的核心思想。
- RBAC1:是把RBAC的角色分層模型。
- RBAC2:增加了RBAC的約束模型。
- RBAC3:整合RBAC2 + RBAC1。
二、ABP中的RBAC
在Abp中,已經集成了這些概念,并在ModuleZero模塊中實現了這些概念,基于IdentityServer4的ModuleZero模塊完成了封裝。對于我們大多數以業務為中心的開發人員來講,不應該又去造一個輪子,而是應該開好這輛車。首先看下Abp中的RBAC模型
在這其中權限表中記錄了用戶與權限,角色與權限兩部分。對于權限通常指的是功能權限和數據權限兩部分,一般來講,大多指的是功能權限,這種通過角色與權限進行管理即可,如還有用戶部分的功能區分,則可以再使用上用戶與權限,而對于數據權限,可以利用用戶與權限部分,個人用的比較少,但是,可以想象到這么一個場景,針對于一家門店內的多個店長,角色相同即相應的權限相同,但各自關心的數據來源不同,關心東部、南部等數據,而不關心西部、北部數據,因此可以在數據層面進行劃分,比如設置數據來源,東南西北,對于數據來源進行權限關聯,這樣一來用戶本身如果擁有東部數據權限,則只能看到東部數據。
1、權限聲明及應用
在Abp中,需要首先在Core層/Authorization/PermissionNames.cs中聲明權限,Abp權限部分設計原則是:先聲明再使用。
/// <summary>
/// 權限命名
/// </summary>
public static class PermissionNames
{
#region 頂級權限
public const string Pages = "Pages";
#endregion
#region 基礎支撐平臺
public const string Pages_Frame = "Pages.Frame";
#region 租戶管理
public const string Pages_Frame_Tenants = "Pages.Frame.Tenants";
#endregion
#region 組織機構
public const string Pages_Frame_OrganizationUnits = "Pages.Frame.OrganizationUnits";
public const string Pages_Frame_OrganizationUnits_Create = "Pages.Frame.OrganizationUnits.Create";
public const string Pages_Frame_OrganizationUnits_Update = "Pages.Frame.OrganizationUnits.Update";
public const string Pages_Frame_OrganizationUnits_Delete = "Pages.Frame.OrganizationUnits.Delete";
#endregion
#region 用戶管理
public const string Pages_Frame_Users = "Pages.Frame.Users";
public const string Pages_Frame_Users_Create = "Pages.Frame.Users.Create";
public const string Pages_Frame_Users_Update = "Pages.Frame.Users.Update";
public const string Pages_Frame_Users_Delete = "Pages.Frame.Users.Delete";
public const string Pages_Frame_Users_ResetPassword = "Pages.Frame.Users.ResetPassword";
#endregion
#region 角色管理
public const string Pages_Frame_Roles = "Pages.Roles";
public const string Pages_Frame_Roles_Create = "Pages.Frame.Roles.Create";
public const string Pages_Frame_Roles_Update = "Pages.Frame.Roles.Update";
public const string Pages_Frame_Roles_Delete = "Pages.Frame.Roles.Delete";
#endregion
}
然后在Core層/Authorization/XXXAuthorizationProvider.cs中設置具體權限,在此處設置權限時,可以根據權限設計時候的職責劃分,比如如果僅僅是多租戶需要這部分,那便設置權限范圍為多租戶即可。
public class SurroundAuthorizationProvider : AuthorizationProvider
{
public override void SetPermissions(IPermissionDefinitionContext context)
{
#region 頂級權限
var pages = context.CreatePermission(PermissionNames.Pages, L("Pages"));
#endregion
#region 基礎支撐平臺
var frame = pages.CreateChildPermission(PermissionNames.Pages_Frame, L("Frame"));
#region 租戶管理
frame.CreateChildPermission(PermissionNames.Pages_Frame_Tenants, L("Tenants"), multiTenancySides: MultiTenancySides.Host);
#endregion
#region 組織機構
var organizationUnits = frame.CreateChildPermission(PermissionNames.Pages_Frame_OrganizationUnits, L("OrganizationUnits"));
organizationUnits.CreateChildPermission(PermissionNames.Pages_Frame_OrganizationUnits_Create, L("CreateOrganizationUnit"));
organizationUnits.CreateChildPermission(PermissionNames.Pages_Frame_OrganizationUnits_Update, L("EditOrganizationUnit"));
organizationUnits.CreateChildPermission(PermissionNames.Pages_Frame_OrganizationUnits_Delete, L("DeleteOrganizationUnit"));
#endregion
#region 用戶管理
var users = frame.CreateChildPermission(PermissionNames.Pages_Frame_Users, L("Users"));
users.CreateChildPermission(PermissionNames.Pages_Frame_Users_Create, L("CreateUser"));
users.CreateChildPermission(PermissionNames.Pages_Frame_Users_Update, L("UpdateUser"));
users.CreateChildPermission(PermissionNames.Pages_Frame_Users_Delete, L("DeleteUser"));
users.CreateChildPermission(PermissionNames.Pages_Frame_Users_ResetPassword, L("ResetPassword"));
#endregion
#region 角色管理
var roles = frame.CreateChildPermission(PermissionNames.Pages_Frame_Roles, L("Roles"));
roles.CreateChildPermission(PermissionNames.Pages_Frame_Roles_Create, L("CreateRole"));
roles.CreateChildPermission(PermissionNames.Pages_Frame_Roles_Update, L("UpdateRole"));
roles.CreateChildPermission(PermissionNames.Pages_Frame_Roles_Delete, L("DeleteRole"));
#endregion
}
}
在設置完畢后,需要將該類集成到Core層/XXXCoreModule當前模塊中,才能使得該部分權限設置生效。
//配置權限管理 Configuration.Authorization.Providers.Add<SurroundAuthorizationProvider>();
作為業務的入口,菜單是較為直觀的體現方式,現在可以,為菜單分配權限了,擁有權限的人才能看的到菜單,同時后臺方法中也要有權限判定,菜單僅作為前端入口上的控制,權限判定作為后端的控制。在MVC層的Startup/XXXNavigationProvider.cs中完成菜單的配置工作,可以配置多級菜單,每個菜單可以配置相應的權限,在生成菜單判定時,如果父級菜單權限不足,則直接會跳過子級菜單的判定。
new MenuItemDefinition(//基礎支撐
PageNames.FrameManage,
L(PageNames.FrameManage),
icon: "",
requiredPermissionName: PermissionNames.Pages_Frame
).AddItem(
new MenuItemDefinition(//組織機構
PageNames.OrganizationUnits,
L(PageNames.OrganizationUnits),
url: "/OrganizationUnits",
icon: "",
requiredPermissionName: PermissionNames.Pages_Frame_OrganizationUnits
)
).AddItem(
new MenuItemDefinition(//用戶管理
PageNames.Users,
L(PageNames.Users),
url: "/Users",
icon: "",
requiredPermissionName: PermissionNames.Pages_Frame_Users
)
).AddItem(
new MenuItemDefinition(//角色管理
PageNames.Roles,
L(PageNames.Roles),
url: "/Roles",
icon: "",
requiredPermissionName: PermissionNames.Pages_Frame_Roles
)
).AddItem(
new MenuItemDefinition(//系統設置
PageNames.HostSettings,
L(PageNames.HostSettings),
url: "/HostSettings",
icon: "",
requiredPermissionName: PermissionNames.Pages_Frame_HostSettings
)
)
在前端頁面上,對于按鈕級別的控制也通過權限判定,Abp提供了判定方法,利用Razor語法進行按鈕控制
@if (await PermissionChecker.IsGrantedAsync(PermissionNames.Pages_Core_DataDictionary_Create))
{
<button class="layui-btn layuiadmin-btn-dataDictionary" data-type="addDataDictionary">添加類型</button>
}
在后端方法上,通常我喜歡直接在應用服務中的方法上做權限判定(當然也可以前移到MVC層,但是這樣一來,針對于WebApi形式的Host層,又得多加一次判定了),利用AbpAuthorize特性,判定該方法需要哪幾個權限才能訪問,而在mvc的控制器上做訪問認證。
[AbpAuthorize(PermissionNames.Pages_Core_DataDictionary_Create)]
private async Task CreateDataDictionaryAsync(CreateOrUpdateDataDictionaryInput input)
{
}
2、角色與權限
在Abp中,角色信息存儲在abprole表中,角色與權限間的關聯存儲在abppermission這張表中,一個角色有多個權限,如果某個角色的權限被去掉了,這張表中的相關記錄將由abp負責刪除,我們只需要完成掌控哪些權限是這個角色有的就行。Abp中已經完成了角色的所有操作,但是前端部分采用的是bootstrap弄的,將其改造一波,成為layui風格。
在創建角色中,主要是將選中的權限掛鉤到具體的某個角色上,該部分代碼沿用abp中自帶的角色權限處理方法。
private async Task CreateRole(CreateOrUpdateRoleInput input)
{
var role = ObjectMapper.Map<Role>(input.Role);
role.SetNormalizedName();
CheckErrors(await _roleManager.CreateAsync(role));
var grantedPermissions = PermissionManager
.GetAllPermissions()
.Where(p => input.PermissionNames.Contains(p.Name))
.ToList();
await _roleManager.SetGrantedPermissionsAsync(role, grantedPermissions);
}
指定角色Id,租戶Id及之前聲明的權限名稱,在abppermission中可查看到具體角色權限。
3、用戶與角色
一個用戶可以承擔多個角色,履行不同角色的義務,作為一個業務系統最基本的單元,abp中提供了這些概念并在Module Zero模塊中已經完成了對用戶的一系列操作,用戶信息存儲在AbpUsers表中,用戶直接關聯的角色保存在AbpUserRoles表中,abp中MVC版本采用的是bootstrap風格,因此,用layui風格完成一次替換,并且,改動一些頁面布局。
Abp版本中,由于是土耳其大佬所開發的習慣,針對于姓和名做了拆分,因此對于我們的使用要做一次處理,我這先簡單處理了一下,并且在業務系統中,郵箱時有時無,因此也需要進行考慮。
[AbpAuthorize(PermissionNames.Pages_Frame_Users_Create)]
private async Task CreateUser(CreateOrUpdateUserInput input)
{
var user = ObjectMapper.Map<User>(input.User);
user.TenantId = AbpSession.TenantId;
user.IsEmailConfirmed = true;
user.Name = "Name";
user.Surname = "Surname";
//user.EmailAddress = string.Empty;
await UserManager.InitializeOptionsAsync(AbpSession.TenantId);
foreach (var validator in _passwordValidators)
{
CheckErrors(await validator.ValidateAsync(UserManager, user, AppConsts.DefaultPassword));
}
user.Password = _passwordHasher.HashPassword(user, AppConsts.DefaultPassword);
await _userManager.InitializeOptionsAsync(AbpSession.TenantId);
CheckErrors(await _userManager.CreateAsync(user, AppConsts.DefaultPassword));
if (input.AssignedRoleNames != null)
{
CheckErrors(await _userManager.SetRoles(user, input.AssignedRoleNames));
}
if (input.OrganizationUnitIds != null)
{
await _userManager.SetOrganizationUnitsAsync(user, input.OrganizationUnitIds);
}
CurrentUnitOfWork.SaveChanges();
}
此處對用戶個人單獨的權限沒有去做處理,依照Abp的文檔有那么一句話,大多數應用程序中,基于角色的已經足夠使用了,如果想聲明特定權限給用戶,那么針對于用戶本身的角色權限則被覆蓋。
至此,修改整合用戶、角色和權限加入到系統中初步完成了,至于一些更為豐富的功能,待逐步加入中,車子再好,司機也得睡覺。
原文鏈接:https://www.cnblogs.com/CKExp/p/11815015.html
相關推薦
- 2022-12-03 C++網絡編程詳細講解_C 語言
- 2022-06-12 C語言詳解熱門考點結構體內存對齊_C 語言
- 2022-05-17 C++?std::shared_mutex讀寫鎖的使用_C 語言
- 2022-09-07 Python的flask常用函數route()_python
- 2022-10-25 記一次生產環境死鎖問題分析
- 2023-10-13 Error: cannot push because a reference that you ar
- 2022-06-02 JQuery實現動態漂浮廣告_jquery
- 2021-12-11 Linux環境變量和進程地址空間介紹_Linux
- 最近更新
-
- window11 系統安裝 yarn
- 超詳細win安裝深度學習環境2025年最新版(
- Linux 中運行的top命令 怎么退出?
- MySQL 中decimal 的用法? 存儲小
- get 、set 、toString 方法的使
- @Resource和 @Autowired注解
- Java基礎操作-- 運算符,流程控制 Flo
- 1. Int 和Integer 的區別,Jav
- spring @retryable不生效的一種
- Spring Security之認證信息的處理
- Spring Security之認證過濾器
- Spring Security概述快速入門
- Spring Security之配置體系
- 【SpringBoot】SpringCache
- Spring Security之基于方法配置權
- redisson分布式鎖中waittime的設
- maven:解決release錯誤:Artif
- restTemplate使用總結
- Spring Security之安全異常處理
- MybatisPlus優雅實現加密?
- Spring ioc容器與Bean的生命周期。
- 【探索SpringCloud】服務發現-Nac
- Spring Security之基于HttpR
- Redis 底層數據結構-簡單動態字符串(SD
- arthas操作spring被代理目標對象命令
- Spring中的單例模式應用詳解
- 聊聊消息隊列,發送消息的4種方式
- bootspring第三方資源配置管理
- GIT同步修改后的遠程分支
提供CDN加速