XAF之Security System

最新推荐文章于 2022-03-10 09:44:04 发布
最新推荐文章于 2022-03-10 09:44:04 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: dev-express 文章标签: security authentication user database object null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hacky_way/article/details/7392962
版权

安全系统策略

        XAF的安全系统是用静态类SecuritySystem定义的。终端用户使用XAF程序时,安全系统会检查当前用户是否有足够的权限执行某项操作。

XAF提供了两个内置安全策略:

Simple Security Strategy

       该策略有两个用户类型:用户(user)和管理员(administrator)。user可以访问除User对象外的所有对象。然而,它可以修改自身的密码和其他安全无关的详情。此外,user可以在只读模式下访问User列表。Administrator可以访问全部的对象,此外还可以编辑Application Model。

Complex Security Strategy

      该策略提供了多种用户组,这些组被叫做Role。每个组拥有不同的权限,用户user可以拥有多个Role,即用户的权限可以叠加。user和role的关系是多对多的关系。

XAF的两种认证方式:

Standard  Authentication

标准认证。弹出登录窗口,输入用户名和密码登录。

Active Directory Authentication

活动文件夹认证。程序使用WindowsActiveDirectory服务获取用户信息,然后使用该信息验证用户。若在当前系统找到用户和数据库的对象符合,则通过验证。XAF默认使用这种方式验证。


Complex Security Strategy

1.基本概念

五种操作权限:

SecurityOperations.Create

SecurityOperations.Delete

SecurityOperations.Navigation

SecurityOperations.Read

SecurityOperations.Write

这里要说一下的是SecurityOperations.Navigation权限,当针对的是Type时,表示在导航栏和列表可导航,当针对的是object时,在导航栏不可见,但在列表中可导航。

精细的权限控制,三种权限控制级别:

object-level: 针对具体的对象,一般需要设置对象筛选;

type-level:   针对某种类型,其子类当然也属于该权限范围;

member-level:针对某类型的属性(成员);

三种权限可以组合,构成复杂的权限。

2.实现步骤

2.1  加入安全Model

将Security Strategy Complex和Authentication Standard拖到 WinApplication.cs中。


以下代码需要加入到MySolution.Module | DatabaseUpdate | Updater.cs的UpdateDatabaseAfterUpdateSchema方法中。另外,其中用到的两个自定义函数如下,他们也位于该文件中:

 private void GrantAllAccess(Type type, ref SecurityRole role)
        {
            role.Permissions.GrantRecursive(type, SecurityOperations.Create);
            role.Permissions.GrantRecursive(type, SecurityOperations.Delete);
            role.Permissions.GrantRecursive(type, SecurityOperations.Navigate);
            role.Permissions.GrantRecursive(type, SecurityOperations.Read);
            role.Permissions.GrantRecursive(type, SecurityOperations.Write);
        }
        private void DenyAllAccess(Type type, ref SecurityRole role)
        {
            role.Permissions.DenyRecursive(type, SecurityOperations.Create);
            role.Permissions.DenyRecursive(type, SecurityOperations.Delete);
            role.Permissions.DenyRecursive(type, SecurityOperations.Navigate);
            role.Permissions.DenyRecursive(type, SecurityOperations.Read);
            role.Permissions.DenyRecursive(type, SecurityOperations.Write);
        }

2.2 创建各Role和User

#region 创建Administrator Role
            // If a role with the Administrators name does not exist in the database, create this role
            SecurityRole adminRole = ObjectSpace.FindObject<SecurityRole>(new BinaryOperator("Name", "Administrators"));
            if (adminRole == null)
            {
                adminRole = ObjectSpace.CreateObject<SecurityRole>();
                adminRole.Name = "Administrators";
            }
            adminRole.BeginUpdate();
            //Give a permission to edit the Application Model
            adminRole.CanEditModel = true;
            //Provide full access to all objects
            GrantAllAccess(typeof(object), ref adminRole);
            adminRole.EndUpdate();
            //Save the Administrators role to the database
            adminRole.Save();
            #endregion
            #region 创建User Role,从Administrator中减少权限
            // If a role with the "Users" name doesn't exist in the database, create this role
            SecurityRole userRole = ObjectSpace.FindObject<SecurityRole>(new BinaryOperator("Name", "Users"));
            if (userRole == null)
            {
                userRole = ObjectSpace.CreateObject<SecurityRole>();
                userRole.Name = "Users";
            }
            userRole.BeginUpdate();
            GrantAllAccess(typeof(object), ref userRole);
            DenyAllAccess(typeof(SecurityUser), ref userRole);
            DenyAllAccess(typeof(SecurityRole), ref userRole);
            DenyAllAccess(typeof(PermissionDescriptorBase), ref userRole);
            DenyAllAccess(typeof(PermissionData), ref userRole);
            DenyAllAccess(typeof(TypePermissionDetails), ref userRole);
            userRole.EndUpdate();
            // Save the "Users" role to the database
            userRole.Save();

            #endregion

            SecurityRole defaultRole = ObjectSpace.FindObject<SecurityRole>(new BinaryOperator("Name", "Default"));
            if (defaultRole == null)
            {
                defaultRole = ObjectSpace.CreateObject<SecurityRole>();
                defaultRole.Name = "Default";
//object-level控制,针对Oid为当前用户id的SecurityUser对象                
//Allow reading and navigating to the SecurityUser object representing the current user
                ObjectOperationPermissionData myDetailsPermission = ObjectSpace.CreateObject<ObjectOperationPermissionData>();
                myDetailsPermission.TargetType = typeof(SecurityUser);
                myDetailsPermission.Criteria = "[Oid] = CurrentUserId()";
                myDetailsPermission.AllowNavigate = true;
                myDetailsPermission.AllowRead = true;
                myDetailsPermission.Save();
                defaultRole.PersistentPermissions.Add(myDetailsPermission);
//Member-level控制,针对SecurityUser的ChangePasswordOnFirstLogon和StoredPassword属性                
//Allow an access to change the ChangePasswordOnFirstLogon and StoredPassword properties of the 
                MemberOperationPermissionData userMembersPermission = ObjectSpace.CreateObject<MemberOperationPermissionData>();
                userMembersPermission.TargetType = typeof(SecurityUser);
                userMembersPermission.Members = "ChangePasswordOnFirstLogon, StoredPassword";
                userMembersPermission.AllowWrite = true;
                userMembersPermission.Save();
                defaultRole.PersistentPermissions.Add(userMembersPermission);
                //Allow reading and navigating to the SecurityRole object representing the current Role
                ObjectOperationPermissionData defaultRolePermission = ObjectSpace.CreateObject<ObjectOperationPermissionData>();
                defaultRolePermission.TargetType = typeof(SecurityRole);
                defaultRolePermission.Criteria = "[Name] = 'Default'";
                defaultRolePermission.AllowNavigate = true;
                defaultRolePermission.AllowRead = true;
                defaultRolePermission.Save();
                defaultRole.PersistentPermissions.Add(defaultRolePermission);
//Type-level控制,针对AuditDataItemPersistent类型               
 //Allow access to the objects of the AuditDataItemPersistent type
                TypeOperationPermissionData auditDataItemPermission = ObjectSpace.CreateObject<TypeOperationPermissionData>();
                auditDataItemPermission.TargetType = typeof(AuditDataItemPersistent);
                auditDataItemPermission.AllowRead = true;
                auditDataItemPermission.AllowWrite = true;
                auditDataItemPermission.AllowCreate = true;
                auditDataItemPermission.Save();
                defaultRole.PersistentPermissions.Add(auditDataItemPermission);
                
                defaultRole.Save();
            }


            SecurityUser user1 = ObjectSpace.FindObject<SecurityUser>(new BinaryOperator("UserName", "Sam"));
            if (user1 == null)
            {
                user1 = ObjectSpace.CreateObject<SecurityUser>();
                user1.UserName = "Sam";
                // Set a password if the standard authentication type is used
                user1.SetPassword("");
            }
            // If a user named 'John' doesn't exist in the database, create this user
            SecurityUser user2 = ObjectSpace.FindObject<SecurityUser>(new BinaryOperator("UserName", "John"));
            if (user2 == null)
            {
                user2 = ObjectSpace.CreateObject<SecurityUser>();
                user2.UserName = "John";
                // Set a password if the standard authentication type is used
                user2.SetPassword("");
            }


            // Add the "Administrators" Role to the user1
            user1.Roles.Add(adminRole);
            // Add the "Users" Role to the user2
            user2.Roles.Add(userRole);
            user2.Roles.Add(defaultRole);
            // Save the users to the database
            user1.Save();
            user2.Save();
            ObjectSpace.CommitChanges();


            SecurityRole anonymousRole = ObjectSpace.FindObject<SecurityRole>(new BinaryOperator("Name", SecurityStrategy.AdministratorRoleName));
            if (anonymousRole == null)
            {
                anonymousRole = ObjectSpace.CreateObject<SecurityRole>();
                anonymousRole.Name = SecurityStrategy.AnonymousUserName;
                anonymousRole.BeginUpdate();
                anonymousRole.Permissions[typeof(SecurityUser)].Grant(SecurityOperations.Read);
                anonymousRole.EndUpdate();
                anonymousRole.Save();
            }
            SecurityUser anonymousUser = ObjectSpace.FindObject<SecurityUser>(new BinaryOperator("UserName", SecurityStrategy.AnonymousUserName));
            if (anonymousUser == null)
            {
                anonymousUser = ObjectSpace.CreateObject<SecurityUser>();
                anonymousUser.UserName = SecurityStrategy.AnonymousUserName;
                anonymousUser.IsActive = true;
                anonymousUser.SetPassword("");
                anonymousUser.Roles.Add(anonymousRole);
                anonymousUser.Save();
            }

另外,也可在运行时创建权限控制策略: 



















                

        

        

    




    

      

        

            

              
                
                  qjpcpu
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
XAF学习.docx

				
			

			

				

					08-02
				

			

		

		

			
				
XAF学习笔记  XAF(eXpress Application Framework)是一种功能强大且灵活的开发框架,用于快速构建企业级应用程序。通过使用XAF,可以快速开发跨平台的应用程序,包括Winform和Webform,并且能够轻松实现业务逻辑的...

			
		

	



                

              
                



	

		

			

				
					
XAF状态机的使用.docx

				
			

			

				

					08-02
				

			

		

		

			
				
XAF框架中,状态机(StateMachine)是一种强大的工具,用于管理对象的状态转换,尤其适用于工作流管理和业务流程控制。本文档将深入介绍如何在XAF应用中使用状态机,并提供一个具体的账单审批工作流示例。  首先,...

			
		

	



                


  
              

                


	

		

			

				
					
DevExpress XAF 获取当前用户

				
			

			

				

					Liyiming1995的博客
				

				

					09-09
					
					463
					
				

			

		

		

			
				
代码

1 Owner = Session.GetObjectByKey<PermissionPolicyUser>(SecuritySystem.CurrentUserId);

用户属性
  应用程序的功能可能取决于当前用户。因此,需要获取用户名、用户ID或者整个用户对象。以下是SecuritySystem类公开的属性。

SecuritySystem.Cu...

			
		

	





	

		

			

				
					
XAF自定义登录参数和身份验证

				
			

			

				

					Liyiming1995的博客
				

				

					09-02
					
					498
					
				

			

		

		

			
				
  在使用XAF框架是,默认身份验证是使用用户名和密码的。Win和Web页面如下所示。

  现在要(公司、员工、密码)登录来替代(用户名、密码)登录。效果如下:
 原理
  是如何实现自定义传参验证的呢?最关键的步骤在于登录使用自定义的认证标准(能够实现登录)而不是默认的Authentication Standard。

  我们可以先了解在生成项目时,有无登录页面的区别...

			
		

	



		

			
		



	

		

			

				
					
[XAF] How to use the Allow/Deny permissions policy in the existing project

				
			

			

				

					weixin_30693183的博客
				

				

					09-03
					
					137
					
				

			

		

		

			
				
https://www.devexpress.com/Support/Center/Question/Details/T418166


Clear
[C#]
using DevExpress.Persistent.BaseImpl.PermissionPolicy;
using DevExpress.ExpressApp.Security.Strategy;
using Syste...

			
		

	





	

		

			

				
					
(System.Security.SecurityException:请求System.Security.Permissions.FileIOPermission,....类型的权限已失败)解决方案

				
			

			

				

					wangchaoqi1985的博客
				

				

					10-06
					
					1036
					
				

			

		

		

			
				
(System.Security.SecurityException:请求System.Security.Permissions.FileIOPermission,....类型的权限已失败)解决方案

			
		

	





	

		

			

				
					
XAF  权限设计 不同的角色 能看不同的内容

				
			

			

				

					lisuyan0的博客
				

				

					12-04
					
					483
					
				

			

		

		

			
				
在系统里我们经常需要根据不同的角色  显示不同的内容
好比经理 能看本部门所有的 请假单
普通用户只能看自己的请假单
行政可以看到整个公司所有的请假单
举个例子  如何设置普通角色对应权限
1.首先设置不能看的内容

2.然后设置可以看的内容(在对象权限里面设置)


...

			
		

	





	

		

			

				
					
xaf开发文档

				
			

			

				

					11-19
				

			

		

		

			
				
eXpressApp Framework (XAF) is a versatile application framework that allows developers to build business applications that target both Windows and the Web. This section of the help documentation ...

			
		

	





	

		

			

				
					
XAF,字段启用SpreadSheet编辑模式

				
			

			

				

					10-23
				

			

		

		

			
				
### XAF 中字段启用 SpreadSheet 编辑模式详解  #### 一、背景介绍 XAF(Xtreme Application Framework)是 DevExpress 提供的一款基于 .NET 的应用开发框架,旨在简化复杂业务应用程序的开发过程。通过 XAF,开发者...

			
		

	





	

		

			

				
					
WindowsApplication1_C#_xaf_

				
			

			

				

					09-28
				

			

		

		

			
				
【WindowsApplication1_C#_xaf_】项目是一个基于C#编程语言和DevExpress eXpressApp Framework(XAF)开发的Windows应用程序。这个项目利用了Windows应用程序的特性以及XAF提供的强大功能,使得开发者能够快速构建...

			
		

	





	

		

			

				
					
XAF —Custom Funtion(eg:CurrentUserName)

				
			

			

				

					08-01
				

			

		

		

			
				
该文档给出了了XAF中Custom Funtion的例子-------CurrentUserName。以内框架只给出了CurrentUserID,所以需要自己定义这个Funtion

			
		

	





	

		

			

				
					
Xaf 权限

				
			

			

				

					weixin_30868855的博客
				

				

					12-25
					
					117
					
				

			

		

		

			
				
Security: How to implement the MemberLevel security manually 
http://www.devexpress.com/Support/Center/KB/p/K18110.aspx

How to implement the MemberLevel security manually (for example, to deny the...

			
		

	





	

		

			

				
					
XAF开发学习(2)自定义登录验证

				
			

			

				

					深海爱人@的博客
				

				

					03-10
					
					969
					
				

			

		

		

			
				
1、创建项目时,按下图设置我们可以得到一个默认权限的项目



2、打开web项目或win项目下的WinApplication.cs文件



我们可以看到系统自带了2个验证器,此2个验证器是默认的登录窗体



对应下方登录页面





3、项目*.Modeule下BusinessObjects文件夹下创建Employee、Company 的BO对象






using DevExpress.Xpo;
using DevExpress.ExpressApp.DC;
using DevExpre...

			
		

	





	

		

			

				
					
XAF应用开发教程(一) 创建项目

				
			

			

				

					feigames学习Odoo历程
				

				

					12-24
					
					5209
					
				

			

		

		

			
				
XAF是DevExpress公司的快速开发框架,全称eXpress Application Framework,是企业信息系统的开发利器,快速开发效果显著,在.net框架中,笔者至今没有找到一款可以与之比较的产品。下面以应用为中心,讲述如何应用XAF。
 
下载与安装,如果你已经安装好了sqlserver和visual studio,请至http://www.devexpress.com 下载

			
		

	





	

		

			

				
					
[原] XAF 11.2权限扩展之角色按钮权限控制

				
			

			

				

					weixin_30588729的博客
				

				

					12-06
					
					106
					
				

			

		

		

			
				
扩展XAF 11.2权限 之按钮权限控制



1. 需求:XAF系统本身已经带了比较好用权限管理:Object-Level,Class-Level,Member-Level;但是没有对自定义按钮按角色分配的权限控制,因此需实现对自定义按钮的角色权限控制
2. 控制方式:角色按钮控制(角色、按钮多对多关系)
3. 系统权限类型为Secu...

			
		

	





	

		

			

				
					
XAF 14.1 DC 实现自定审计日志信息

				
			

			

				

					weixin_30247159的博客
				

				

					12-17
					
					159
					
				

			

		

		

			
				
由于一个系统的需要,需要在日志中加入自定义的信息,并且需要根据需要过滤显示其中的部分操作记录入修改,删除等,其他的不显示,具体的实现方法如下:
一、需要继承 AuditDataItemPersistent,具体代码如下:

        public MyAuditDataItemPersistent(DevExpress.Xpo.Session session)
           ...

			
		

	





	

		

			

				
					
XAFObjectSpace

				
			

			

				

					压碎起重机
				

				

					03-27
					
					2462
					
				

			

		

		

			
				
之前对XAFobjectspace一直懵懵懂懂,不明白为什么有时候在CreateObjectSpace有时候又直接从View的属性获取,直到细读了官方文档http://documentation.devexpress.com/#Xaf/clsDevExpressExpressAppObjectSpacetopic
现将其简要翻译一下:
语法
Visual Basic
Public Cla

			
		

	





	

		

			

				
					
判断一个用户对一个页面有没有权限(根据moduleName)

				
			

			

				

					lyz19890927的专栏
				

				

					10-26
					
					2743
					
				

			

		

		

			
				
public String view() throws Exception {
		String moduleName = getModuleName();
		if (FrameworkUtil.convertToNull(moduleName) != null) {// 不允许直接访问action,必须加上moduleName参数,
			FunctionDetails functionDet

			
		

	





	

		

			

				
					
[原] XAF使用审计模块的对象避免数据冗余的方法

				
			

			

				

					weixin_30258027的博客
				

				

					04-02
					
					118
					
				

			

		

		

			
				
//UpdatedOn, UpdatedBy, CreatedOn, CreatedBy [PersistentAlias("[<AuditDataItemPersistent>][Contains(AuditedObject.TargetKey, ToStr(^.Oid))].Max(ModifiedOn)")]
        public DateTime Modif...

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值