ABP入門系列（9）——權限管理

ABP入門系列目錄——學習Abp框架之實操演練
源碼路徑：Github-LearningMpaAbp

---

完成了簡單的增刪改查和分頁功能，是否是以爲少了點什麼？
是的，少了權限管理。既然涉及到了權限，那咱們就細化下任務清單的功能點：

• 登陸的用戶才能查看任務清單
• 用戶能夠無限建立任務並分配給本身，但只能對本身建立的任務進行查找、修改
• 管理員能夠建立任務並分配給他人
• 管理員具備刪除任務的權限

從以上的信息中，咱們能夠提取出如下權限：

1. 任務分配權限
2. 任務刪除權限

那咱們下面就來實現針對這兩個權限的管理：

1、ABP權限管理的實現

一、先來看看權限定義相關類型：

從該類型依賴圖中咱們能夠看出：

• Permission：權限類，定義了權限的屬性。
• PermissionDictionary：繼承自Dictionary<string, Permission>類，存儲permission對象的字典。
• IPermisssionDefinitionContext：定義了CreatePermission和GetPermissionOrNull方法，分別用來建立和獲取權限。
• AuthorizationProvider：抽象類，在Module中實現該接口來定義權限。
• PermissionManager：權限管理類，繼承自PermissionDefinitionContextBase主要提供了獲取權限的系列方法。

二、再來看看權限檢查相關類型

從該類型依賴圖中簡要梳理下核心類：

• IPermissionChecker：從接口命名就明白，這個是用來進行權限檢查的。咱們能夠本身實現它，也可使用module-zero中給出的實現。
• NullPermissionChecker：當未實現IPermissionChecker，系統會默認使用此類將權限賦予給每一個用戶。
• AbpAuthorizeAttribute：權限檢查特性，在應用服務層標註須要的權限。
• AbpAllowAnonymousAttribute：匿名訪問特性，忽略權限檢查，用於應用服務層。在mvc和webapi中使用[AllowAnonymous]。
• AuthorizationInterceptor：受權攔截器，用來攔截定義了AbpAuthorizeAttribute特性的方法。

核心的幾個類就講到這裏，具體的實現，能夠自行查看源碼一探究竟。

2、定義權限

從上節中咱們知道在不一樣的Module中經過繼承AuthorizationProvider來定義權限。ABP模板項目中已經在領域層，也就是.Core結尾的項目中，定義了xxxxxxAuthorizationProvider類繼承自AuthorizationProvider。

一、權限包含哪些屬性

• Name：系統中 惟一的名字。最好爲權限的名字定義一個const字符串而不是變量字符串。咱們偏向使用「.」符號用於有層次的名字，但這不是強制的。你能夠設置任何你喜歡的名字，惟一的一點是保證它必須是惟一的。
• DisplayName：用於之後在UI上顯示權限的本地化字符串。
• Description：用於之後在UI上顯示權限定義的本地化字符串。
• IsGrantedByDefault：表示該權限是否授予給全部登陸的用戶，除非該權限顯式禁止未授予給用戶。該值通常默認爲false。
• MultiTenancySides：對於多租戶應用，租戶或者租主可使用同一個權限。這是一個Flags枚舉，所以一個權限能夠用於租戶和租主。
• featureDependency：能夠用於聲明一個功能的依賴。所以，只有功能依賴知足了，該權限纔會被授予。

二、定義任務分配和任務刪除權限

ABP模板項目默認已經在.Core/Authorization/目錄下建立了AuthorizationProvider的派生類xxxxAuthorizationProvider.cs
其中代碼爲：

public override void SetPermissions(IPermissionDefinitionContext context)
{
    //Common permissions
    var pages = context.GetPermissionOrNull(PermissionNames.Pages);
    if (pages == null)
        pages = context.CreatePermission(PermissionNames.Pages, L("Pages"));

    var users = pages.CreateChildPermission(PermissionNames.Pages_Users, L("Users"));

    //Host permissions
    var tenants = pages.CreateChildPermission(PermissionNames.Pages_Tenants, L("Tenants"),
        multiTenancySides: MultiTenancySides.Host);
}

能夠看出主要添加了三個權限，Pages、Users、Tenants。
依葫蘆畫瓢，我們建立一個TaskAuthorizationProvider繼承自AuthorizationProvider。
代碼以下：

public class TaskAuthorizationProvider : AuthorizationProvider
{
    public override void SetPermissions(IPermissionDefinitionContext context)
    {
        //Common permissions
        var pages = context.GetPermissionOrNull(PermissionNames.Pages);
        if (pages == null)
            pages = context.CreatePermission(PermissionNames.Pages, L("Pages"));

        //Tasks
        var tasks = pages.CreateChildPermission(PermissionNames.Pages_Tasks, L("Tasks"));
        tasks.CreateChildPermission(PermissionNames.Pages_Tasks_AssignPerson, L("AssignTaskToPerson"));
        tasks.CreateChildPermission(PermissionNames.Pages_Tasks_Delete, L("DeleteTask"));
    }

    private static ILocalizableString L(string name)
    {
        return new LocalizableString(name, LearningMpaAbpConsts.LocalizationSourceName);
    }
}

並在常量PermissionNames類中維護惟一用戶名。

public const string Pages_Tasks = "Pages.Pages.Tasks";

public const string Pages_Tasks_AssignPerson = "Pages.Pages.Tasks.AssignPerson";

public const string Pages_Tasks_Delete = "Pages.Pages.Tasks.Delete";

須要本地化顯示的，則須要分別維護本地化xml文件，這裏忽略此步。

三、註冊TaskAuthorizationProvider

定位到.Core/xxxCoreModule.cs文件中發現Abp已經爲默認實現的的xxxxAuthorizationProvider.cs註冊了。
Configuration.Authorization.Providers.Add<LearningMpaAbpAuthorizationProvider>();
由於ABP是模塊化的，當你須要爲本身自定義的模塊定義權限時，
不要忘記在本身定義的Module中註冊本身實現的AuthorizationProvider（受權提供器）。
因此，仍是依葫蘆畫瓢，註冊TaskAuthorizationProvider
Configuration.Authorization.Providers.Add<TaskAuthorizationProvider>();

3、權限檢查

一、使用[AbpAuthorize]特性

在應用服務層中直接使用[AbpAuthorize]特性，但在MVC控制器中使用[AbpMvcAuthorize]特性，Web API控制器中使用[AbpApiAuthorize]。

咱們在應用服務層給刪除操做定義權限檢查：

[AbpAuthorize(PermissionNames.Pages_Tasks_Delete)]
public void DeleteTask(int taskId)
{
    var task = _taskRepository.Get(taskId);
    if (task != null)
        _taskRepository.Delete(task);
}

F5運行，去刪除某一任務，將得到如下提示：

二、使用IPermissionChecker

刪除任務是一個獨立的操做，因此咱們能夠直接使用上面特性聲明的方式來進行權限檢查。
可是針對【任務分配】這個操做，它實際上是任務建立、編輯中的一個子操做。因此咱們不能直接使用特性聲明的方式來進行權限檢查。這一次咱們使用IPermissionChecker來進行檢查。

2.一、應用服務層注入了PermissionChecker屬性
由於受權通常在應用服務層中進行，因此ABP默認在ApplicationService基類注入並定義了PermissionChecker屬性。這樣，在應用服務層就能夠直接使用PermissionChecker屬性進行權限檢查。
2.二、修改建立任務方法，加入權限檢查：

public int CreateTask(CreateTaskInput input)
{
    //We can use Logger, it's defined in ApplicationService class.
    Logger.Info("Creating a task for input: " + input);

    //獲取當前用戶
    var currentUser = AsyncHelper.RunSync(this.GetCurrentUserAsync);

    //判斷用戶是否有權限
    if (input.AssignedPersonId.HasValue && input.AssignedPersonId.Value != currentUser.Id)
        PermissionChecker.Authorize(PermissionNames.Pages_Tasks_AssignPerson);

    var task = Mapper.Map<Task>(input);

    int result = _taskRepository.InsertAndGetId(task);

    //只有建立成功才發送郵件和通知
    if (result > 0)
    {
        task.CreationTime = Clock.Now;

        if (input.AssignedPersonId.HasValue)
        {
            task.AssignedPerson = _userRepository.Load(input.AssignedPersonId.Value);
            var message = "You hava been assigned one task into your todo list.";

            //TODO:須要從新配置QQ郵箱密碼
            //SmtpEmailSender emailSender = new SmtpEmailSender(_smtpEmialSenderConfig);
            //emailSender.Send("ysjshengjie@qq.com", task.AssignedPerson.EmailAddress, "New Todo item", message);

            _notificationPublisher.Publish("NewTask", new MessageNotificationData(message), null,
                NotificationSeverity.Info, new[] { task.AssignedPerson.ToUserIdentifier() });
        }
    }

其中權限檢查代碼爲：PermissionChecker.Authorize(PermissionNames.Pages_Tasks_AssignPerson);這種方式當沒有權限時，將直接拋出異常。當啓用<customErrors mode="On" />時，將跳轉至Error視圖並顯示如下信息。

2.三、修改編輯任務方法，加入權限檢查：

public void UpdateTask(UpdateTaskInput input)
{
    //We can use Logger, it's defined in ApplicationService base class.
    Logger.Info("Updating a task for input: " + input);

    //獲取當前用戶
    var currentUser = AsyncHelper.RunSync(this.GetCurrentUserAsync);
    //獲取是否有權限
    bool canAssignTaskToOther = PermissionChecker.IsGranted(PermissionNames.Pages_Tasks_AssignPerson);
    //若是任務已經分配且未分配給本身，且不具備分配任務權限，則拋出異常
    if (input.AssignedPersonId.HasValue && input.AssignedPersonId.Value != currentUser.Id && !canAssignTaskToOther)
    {
        throw new AbpAuthorizationException("沒有分配任務給他人的權限！");
    }

    var updateTask = Mapper.Map<Task>(input);
    _taskRepository.Update(updateTask);
}

其中權限檢查代碼爲PermissionChecker.IsGranted(PermissionNames.Pages_Tasks_AssignPerson);，IsGranted()方法返回true or false。

2.四、Razor頁面如何進行權限檢查
視圖基類定義了IsGranted方法來檢查當前用戶是否具備權限。咱們能夠在_List.cshtml.cs中加入如下代碼來控制是否顯示刪除按鈕。

@if (IsGranted(PermissionNames.Pages_Tasks_Delete))
{
    <button type="button" class="btn btn-success" onclick="deleteTask(@task.Id);">Delete</button>
}

2.五、js代碼如何進行權限檢查
abp.auth命名空間下定義了權限相關的API，在js中咱們能夠直接使用。
這裏再也不舉例。

4、將新增的權限賦予給Admin

完成了權限的定義和檢查，咱們如何進行權限設置呢，如何爲角色或用戶賦予權限呢？
在ABP模板項目中暫未提供用戶角色權限管理功能，但在AbpZero中提供了該功能，支持按用戶或角色賦予權限。那咋辦呢？
我們退而求其次，在數據庫初始化的時候，將權限賦給Admin。
可是咱們的數據庫已經創建好了啊？
反正是測試庫，刪掉重建唄。

一、刪除數據庫

怎麼刪數據庫，本身應該知道吧。

二、代碼中爲Admin賦予權限

打開基礎設施層，即以EntityFramework結尾的項目中，定位到Migrations\SeedData文件夾，分別在
HostRoleAndUserCreator和TenantRoleAndUserBuilder兩個類中添加如下代碼：

var taskPermissions = PermissionFinder.GetAllPermissions(new PersonAppAuthorizationProvider()).ToList();
permissions.AddRange(taskPermissions);

三、從新編譯整個項目，執行Update-Database

查看數據庫，發現已經將Permission賦予給了admin

---

總結：

本節主要講解了ABP權限管理的基本實現方式，以及如何定義、使用和添加權限。

在ABP模板項目中暫未提供用戶角色權限管理功能，但在AbpZero中提供了該功能，支持按用戶或角色賦予權限。這一節先暫時不表，等我研究通徹了再和你們娓娓道來。

---

遺留問題：

1. 在模態框上如何彈出異常信息?