ABP入門(mén)系列目錄——學(xué)習(xí)Abp框架之實(shí)操演練
源碼路徑：Github-LearningMpaAbp

1.引言

完成了簡(jiǎn)單的增刪改查和分頁(yè)功能，是不是覺(jué)得少了點(diǎn)什么？
是的，少了權(quán)限管理。既然涉及到了權(quán)限，那我們就細(xì)化下任務(wù)清單的功能點(diǎn)：

• 登錄的用戶才能查看任務(wù)清單
• 用戶可以無(wú)限創(chuàng)建任務(wù)并分配給自己，但只能對(duì)自己創(chuàng)建的任務(wù)進(jìn)行查找、修改
• 管理員可以創(chuàng)建任務(wù)并分配給他人
• 管理員具有刪除任務(wù)的權(quán)限

從以上的信息中，我們可以提取出以下權(quán)限：

1. 任務(wù)分配權(quán)限
2. 任務(wù)刪除權(quán)限

那我們下面就來(lái)實(shí)現(xiàn)針對(duì)這兩個(gè)權(quán)限的管理：

2. ABP權(quán)限管理的實(shí)現(xiàn)

2.1. 先來(lái)看看權(quán)限定義相關(guān)類(lèi)型

權(quán)限定義及獲取相關(guān)類(lèi)型依賴(lài)圖

從該類(lèi)型依賴(lài)圖中我們可以看出：

• Permission：權(quán)限類(lèi)，定義了權(quán)限的屬性。
• PermissionDictionary：繼承自Dictionary<string, Permission>類(lèi)，存儲(chǔ)permission對(duì)象的字典。
• IPermisssionDefinitionContext：定義了CreatePermission和GetPermissionOrNull方法，分別用來(lái)創(chuàng)建和獲取權(quán)限。
• AuthorizationProvider：抽象類(lèi)，在Module中實(shí)現(xiàn)該接口來(lái)定義權(quán)限。
• PermissionManager：權(quán)限管理類(lèi)，繼承自PermissionDefinitionContextBase主要提供了獲取權(quán)限的系列方法。

2.2. 再來(lái)看看權(quán)限檢查相關(guān)類(lèi)型

權(quán)限檢查相關(guān)類(lèi)型依賴(lài)圖

從該類(lèi)型依賴(lài)圖中簡(jiǎn)要梳理下核心類(lèi)：

• IPermissionChecker：從接口命名就明白，這個(gè)是用來(lái)進(jìn)行權(quán)限檢查的。我們可以自己實(shí)現(xiàn)它，也可以使用module-zero中給出的實(shí)現(xiàn)。
• NullPermissionChecker：當(dāng)未實(shí)現(xiàn)IPermissionChecker，系統(tǒng)會(huì)默認(rèn)使用此類(lèi)將權(quán)限賦予給每個(gè)用戶。
• AbpAuthorizeAttribute：權(quán)限檢查特性，在應(yīng)用服務(wù)層標(biāo)注需要的權(quán)限。
• AbpAllowAnonymousAttribute：匿名訪問(wèn)特性，忽略權(quán)限檢查，用于應(yīng)用服務(wù)層。在mvc和webapi中使用[AllowAnonymous]。
• AuthorizationInterceptor：授權(quán)攔截器，用來(lái)攔截定義了AbpAuthorizeAttribute特性的方法。

核心的幾個(gè)類(lèi)就講到這里，具體的實(shí)現(xiàn)，可以自行查看源碼一探究竟。

3. 定義權(quán)限

從上節(jié)中我們知道在不同的Module中通過(guò)繼承AuthorizationProvider來(lái)定義權(quán)限。ABP模板項(xiàng)目中已經(jīng)在領(lǐng)域?qū)樱簿褪?Core結(jié)尾的項(xiàng)目中，定義了xxxxxxAuthorizationProvider類(lèi)繼承自AuthorizationProvider。

3.1. 權(quán)限包含哪些屬性

• Name：系統(tǒng)中 唯一的名字。最好為權(quán)限的名字定義一個(gè)const字符串而不是變量字符串。我們偏向使用“.”符號(hào)用于有層次的名字，但這不是強(qiáng)制的。你可以設(shè)置任何你喜歡的名字，唯一的一點(diǎn)是保證它必須是唯一的。
• DisplayName：用于以后在UI上顯示權(quán)限的本地化字符串。
• Description：用于以后在UI上顯示權(quán)限定義的本地化字符串。
• IsGrantedByDefault：表示該權(quán)限是否授予給所有登錄的用戶，除非該權(quán)限顯式禁止未授予給用戶。該值一般默認(rèn)為false。
• MultiTenancySides：對(duì)于多租戶應(yīng)用，租戶或者租主可以使用同一個(gè)權(quán)限。這是一個(gè)Flags枚舉，因此一個(gè)權(quán)限可以用于租戶和租主。
• featureDependency：可以用于聲明一個(gè)功能的依賴(lài)。因此，只有功能依賴(lài)滿足了，該權(quán)限才會(huì)被授予。

3.2. 定義任務(wù)分配和任務(wù)刪除權(quán)限

ABP模板項(xiàng)目默認(rèn)已經(jīng)在.Core/Authorization/目錄下創(chuàng)建了AuthorizationProvider的派生類(lèi)xxxxAuthorizationProvider.cs
其中代碼為：

public override void SetPermissions(IPermissionDefinitionContext context)
{
    //Common permissions
    var pages = context.GetPermissionOrNull(PermissionNames.Pages);
    if (pages == null)
        pages = context.CreatePermission(PermissionNames.Pages, L("Pages"));

    var users = pages.CreateChildPermission(PermissionNames.Pages_Users, L("Users"));

    //Host permissions
    var tenants = pages.CreateChildPermission(PermissionNames.Pages_Tenants, L("Tenants"),
        multiTenancySides: MultiTenancySides.Host);
}

可以看出主要添加了三個(gè)權(quán)限，Pages、Users、Tenants。
依葫蘆畫(huà)瓢，咱們創(chuàng)建一個(gè)TaskAuthorizationProvider繼承自AuthorizationProvider。
代碼如下：

public class TaskAuthorizationProvider : AuthorizationProvider
{
    public override void SetPermissions(IPermissionDefinitionContext context)
    {
        //Common permissions
        var pages = context.GetPermissionOrNull(PermissionNames.Pages);
        if (pages == null)
            pages = context.CreatePermission(PermissionNames.Pages, L("Pages"));

        //Tasks
        var tasks = pages.CreateChildPermission(PermissionNames.Pages_Tasks, L("Tasks"));
        tasks.CreateChildPermission(PermissionNames.Pages_Tasks_AssignPerson, L("AssignTaskToPerson"));
        tasks.CreateChildPermission(PermissionNames.Pages_Tasks_Delete, L("DeleteTask"));
    }

    private static ILocalizableString L(string name)
    {
        return new LocalizableString(name, LearningMpaAbpConsts.LocalizationSourceName);
    }
}

并在常量PermissionNames類(lèi)中維護(hù)唯一用戶名。

public const string Pages_Tasks = "Pages.Pages.Tasks";

public const string Pages_Tasks_AssignPerson = "Pages.Pages.Tasks.AssignPerson";

public const string Pages_Tasks_Delete = "Pages.Pages.Tasks.Delete";

需要本地化顯示的，則需要分別維護(hù)本地化xml文件，這里忽略此步。

3.3. 注冊(cè)TaskAuthorizationProvider

定位到.Core/xxxCoreModule.cs文件中發(fā)現(xiàn)Abp已經(jīng)注冊(cè)了默認(rèn)實(shí)現(xiàn)的xxxxAuthorizationProvider.cs。
Configuration.Authorization.Providers.Add<LearningMpaAbpAuthorizationProvider>();
因?yàn)锳BP是模塊化的，當(dāng)你需要為自己自定義的模塊定義權(quán)限時(shí)，
不要忘記在自己定義的Module中注冊(cè)自己實(shí)現(xiàn)的AuthorizationProvider（授權(quán)提供器）。
所以，還是依葫蘆畫(huà)瓢，注冊(cè)TaskAuthorizationProvider：
Configuration.Authorization.Providers.Add<TaskAuthorizationProvider>();

4. 權(quán)限檢查

4.1. 使用[AbpAuthorize]特性

在應(yīng)用服務(wù)層中直接使用[AbpAuthorize]特性，但在MVC控制器中使用[AbpMvcAuthorize]特性，Web API控制器中使用[AbpApiAuthorize]。

我們?cè)趹?yīng)用服務(wù)層給刪除操作定義權(quán)限檢查：

[AbpAuthorize(PermissionNames.Pages_Tasks_Delete)]
public void DeleteTask(int taskId)
{
    var task = _taskRepository.Get(taskId);
    if (task != null)
        _taskRepository.Delete(task);
}

F5運(yùn)行，去刪除某一任務(wù)，將獲得以下提示：

未授權(quán)提示

4.2. 使用IPermissionChecker

刪除任務(wù)是一個(gè)獨(dú)立的操作，所以我們可以直接使用上面特性聲明的方式來(lái)進(jìn)行權(quán)限檢查。
但是針對(duì)【任務(wù)分配】這個(gè)操作，它其實(shí)是任務(wù)創(chuàng)建、編輯中的一個(gè)子操作。所以我們不能直接使用特性聲明的方式來(lái)進(jìn)行權(quán)限檢查。這一次我們使用IPermissionChecker來(lái)進(jìn)行檢查。

4.2.1. 應(yīng)用服務(wù)層注入了PermissionChecker屬性

因?yàn)槭跈?quán)一般在應(yīng)用服務(wù)層中進(jìn)行，所以ABP默認(rèn)在ApplicationService基類(lèi)注入并定義了PermissionChecker屬性。這樣，在應(yīng)用服務(wù)層就可以直接使用PermissionChecker屬性進(jìn)行權(quán)限檢查。

4.2.2. 修改創(chuàng)建任務(wù)方法，加入權(quán)限檢查

public int CreateTask(CreateTaskInput input)
{
    //We can use Logger, it's defined in ApplicationService class.
    Logger.Info("Creating a task for input: " + input);

    //獲取當(dāng)前用戶
    var currentUser = AsyncHelper.RunSync(this.GetCurrentUserAsync);

    //判斷用戶是否有權(quán)限
    if (input.AssignedPersonId.HasValue && input.AssignedPersonId.Value != currentUser.Id)
        PermissionChecker.Authorize(PermissionNames.Pages_Tasks_AssignPerson);

    var task = Mapper.Map<Task>(input);

    int result = _taskRepository.InsertAndGetId(task);

    //只有創(chuàng)建成功才發(fā)送郵件和通知
    if (result > 0)
    {
        task.CreationTime = Clock.Now;

        if (input.AssignedPersonId.HasValue)
        {
            task.AssignedPerson = _userRepository.Load(input.AssignedPersonId.Value);
            var message = "You hava been assigned one task into your todo list.";

            //TODO:需要重新配置QQ郵箱密碼
            //SmtpEmailSender emailSender = new SmtpEmailSender(_smtpEmialSenderConfig);
            //emailSender.Send("ysjshengjie@qq.com", task.AssignedPerson.EmailAddress, "New Todo item", message);

            _notificationPublisher.Publish("NewTask", new MessageNotificationData(message), null,
                NotificationSeverity.Info, new[] { task.AssignedPerson.ToUserIdentifier() });
        }
    }

其中權(quán)限檢查代碼為：PermissionChecker.Authorize(PermissionNames.Pages_Tasks_AssignPerson);這種方式當(dāng)沒(méi)有權(quán)限時(shí)，將直接拋出異常。當(dāng)啟用<customErrors mode="On" />時(shí)，將跳轉(zhuǎn)至Error視圖并顯示以下信息。

授權(quán)提示

4.2.3. 修改編輯任務(wù)方法，加入權(quán)限檢查

public void UpdateTask(UpdateTaskInput input)
{
    //We can use Logger, it's defined in ApplicationService base class.
    Logger.Info("Updating a task for input: " + input);

    //獲取當(dāng)前用戶
    var currentUser = AsyncHelper.RunSync(this.GetCurrentUserAsync);
    //獲取是否有權(quán)限
    bool canAssignTaskToOther = PermissionChecker.IsGranted(PermissionNames.Pages_Tasks_AssignPerson);
    //如果任務(wù)已經(jīng)分配且未分配給自己，且不具有分配任務(wù)權(quán)限，則拋出異常
    if (input.AssignedPersonId.HasValue && input.AssignedPersonId.Value != currentUser.Id && !canAssignTaskToOther)
    {
        throw new AbpAuthorizationException("沒(méi)有分配任務(wù)給他人的權(quán)限！");
    }

    var updateTask = Mapper.Map<Task>(input);
    _taskRepository.Update(updateTask);
}

其中權(quán)限檢查代碼為PermissionChecker.IsGranted(PermissionNames.Pages_Tasks_AssignPerson);，IsGranted()方法返回true or false。

權(quán)限提示

4.2.4. Razor頁(yè)面如何進(jìn)行權(quán)限檢查

視圖基類(lèi)定義了IsGranted方法來(lái)檢查當(dāng)前用戶是否具有權(quán)限。我們可以在_List.cshtml.cs中加入以下代碼來(lái)控制是否顯示刪除按鈕。

@if (IsGranted(PermissionNames.Pages_Tasks_Delete))
{
    <button type="button" class="btn btn-success" onclick="deleteTask(@task.Id);">Delete</button>
}

4.2.5 js代碼如何進(jìn)行權(quán)限檢查

abp.auth命名空間下定義了權(quán)限相關(guān)的API，在js中我們可以直接使用。
這里不再舉例。

5. 將新增的權(quán)限賦予給Admin

完成了權(quán)限的定義和檢查，我們?nèi)绾芜M(jìn)行權(quán)限設(shè)置呢，如何為角色或用戶賦予權(quán)限呢？
在ABP模板項(xiàng)目中暫未提供用戶角色權(quán)限管理功能，但在AbpZero中提供了該功能，支持按用戶或角色賦予權(quán)限。那咋辦呢？
咱們退而求其次，在數(shù)據(jù)庫(kù)初始化的時(shí)候，將權(quán)限賦給Admin。
但是我們的數(shù)據(jù)庫(kù)已經(jīng)建立好了?。?br> 反正是測(cè)試庫(kù)，刪掉重建唄。

5.1. 刪除數(shù)據(jù)庫(kù)

怎么刪數(shù)據(jù)庫(kù)，自己應(yīng)該知道吧。

5.2. 代碼中為Admin賦予權(quán)限

打開(kāi)基礎(chǔ)設(shè)施層，即以EntityFramework結(jié)尾的項(xiàng)目中，定位到Migrations\SeedData文件夾，分別在
HostRoleAndUserCreator和TenantRoleAndUserBuilder兩個(gè)類(lèi)中添加以下代碼：

var taskPermissions = PermissionFinder.GetAllPermissions(new TaskAuthorizationProvider()).ToList();
permissions.AddRange(taskPermissions);

5.3. 重新編譯整個(gè)項(xiàng)目，執(zhí)行Update-Database

查看數(shù)據(jù)庫(kù)，發(fā)現(xiàn)已經(jīng)將Permission賦予給了admin

6.總結(jié)

本節(jié)主要講解了ABP權(quán)限管理的基本實(shí)現(xiàn)方式，以及如何定義、使用和添加權(quán)限。

在ABP模板項(xiàng)目中暫未提供用戶角色權(quán)限管理功能，但在AbpZero中提供了該功能，支持按用戶或角色賦予權(quán)限。這一節(jié)先暫時(shí)不表，等我研究通徹了再和大家娓娓道來(lái)。

遺留問(wèn)題：

1. 在模態(tài)框上如何彈出異常信息?