权限模块

最新推荐文章于 2022-05-19 23:24:23 发布
最新推荐文章于 2022-05-19 23:24:23 发布
阅读量484 收藏
点赞数
原文链接:http://www.cnblogs.com/cloudsu/p/11179967.html
版权

一、模块的配置

1、增加权限拦截器,只要类型和方法有AuthorizeAttribute都增加AuthorizationInterceptor

     public static void RegisterIfNeeded(IOnServiceRegistredContext context)
        {
            if (ShouldIntercept(context.ImplementationType))
            {
                context.Interceptors.TryAdd<AuthorizationInterceptor>();
            }
        }

        private static bool ShouldIntercept(Type type)
        {
            return type.IsDefined(typeof(AuthorizeAttribute), true) ||
                   AnyMethodHasAuthorizeAttribute(type);
        }

2、PermissionOptions权限的两个集合,权限的定义IPermissionDefinitionProvider,以及权限的提供者IPermissionValueProvider

注册PermissionRequirementHandler到DI系统里面

 public override void PreConfigureServices(ServiceConfigurationContext context)
        {
            context.Services.OnRegistred(AuthorizationInterceptorRegistrar.RegisterIfNeeded);
            AutoAddDefinitionProviders(context.Services);
        }

        public override void ConfigureServices(ServiceConfigurationContext context)
        {
            context.Services.AddAuthorization();

            context.Services.AddSingleton<IAuthorizationHandler, PermissionRequirementHandler>();

            Configure<PermissionOptions>(options =>
            {
                options.ValueProviders.Add<UserPermissionValueProvider>();
                options.ValueProviders.Add<RolePermissionValueProvider>();
                options.ValueProviders.Add<ClientPermissionValueProvider>();
            });
        }

1)PermissionDefinition的定义有,名称,父定义Parent ,租户端(Tenant,Host,Both),允许providers(指的valueProvider) ,显示名字,子权限Children列表List<PermissionDefinition>,客户化属性定义Dictionary<string, object> Properties,WithProperty,WithProviders两个方法设置   

2、PermissionGroupDefinition组定义,基本同PermissionDefinition,重点方法GetPermissionsWithChildren,是递归获取所有的PermissionDefinition。

3、PermissionDefinitionContext,是组定义字典的Dictionary<string, PermissionGroupDefinition> Groups,及一些方法AddGroup,GetGroupOrNull方法

4、IPermissionDefinitionManager,有组的定义,也有PermissionDefinition的方法,构造函数遍历Options.DefinitionProviders,遍历实现中Define方法,填充PermissionDefinitionContext,返回PermissionGroupDefinition的字典

 protected virtual Dictionary<string, PermissionGroupDefinition> CreatePermissionGroupDefinitions()
        {
            var context = new PermissionDefinitionContext();

            using (var scope = _serviceProvider.CreateScope())
            {
                var providers = Options
                    .DefinitionProviders
                    .Select(p => scope.ServiceProvider.GetRequiredService(p) as IPermissionDefinitionProvider)
                    .ToList();

                foreach (var provider in providers)
                {
                    provider.Define(context);
                }
            }

            return context.Groups;
        }

  2 权限的提供者IPermissionValueProvider(三个分别是用户、角色和客户端),其主要方法 Task<PermissionGrantResult> CheckAsync(PermissionValueCheckContext context);返回是结果是Undefined,Granted,Prohibited的其中的一个

 其中:PermissionValueCheckContext的上下文要引入PermissionDefinition要鉴权的权限定义以及ClaimsPrincipal(用户的信息)。PermissionValueCheckContext的构建见PermissionChecker类;它是调用IPermissionValueProvider来获取是否存在权限;var context = new PermissionValueCheckContext(permission, claimsPrincipal);

 

IPermissionValueProvider的抽象方法PermissionValueProvider,注入IPermissionStore

 public abstract class PermissionValueProvider : IPermissionValueProvider, ISingletonDependency  //TODO: to transient?
    {
        public abstract string Name { get; }

        protected IPermissionStore PermissionStore { get; }

        protected PermissionValueProvider(IPermissionStore permissionStore)
        {
            PermissionStore = permissionStore;
        }

        public abstract Task<PermissionGrantResult> CheckAsync(PermissionValueCheckContext context);
    }

 其一实现方法:用户UserPermissionValueProvider,用户AbpClaimTypes.UserId,角色AbpClaimTypes.Role,客户端AbpClaimTypes.ClientId,同理。

  public override async Task<PermissionGrantResult> CheckAsync(PermissionValueCheckContext context)
        {
            var userId = context.Principal?.FindFirst(AbpClaimTypes.UserId)?.Value;

            if (userId == null)
            {
                return PermissionGrantResult.Undefined;
            }

            return await PermissionStore.IsGrantedAsync(context.Permission.Name, Name, userId)
                ? PermissionGrantResult.Granted
                : PermissionGrantResult.Undefined;
        }

二、IPermissionChecker是检查既定的认证信息是否有权限,见构造函数

public PermissionChecker(
            IOptions<PermissionOptions> options,
            IServiceProvider serviceProvider,
            ICurrentPrincipalAccessor principalAccessor,
            IPermissionDefinitionManager permissionDefinitionManager, 
            ICurrentTenant currentTenant)
        {
            PrincipalAccessor = principalAccessor;
            PermissionDefinitionManager = permissionDefinitionManager;
            CurrentTenant = currentTenant;
            Options = options.Value;

            _lazyProviders = new Lazy<List<IPermissionValueProvider>>(
                () => Options
                    .ValueProviders
                    .Select(c => serviceProvider.GetRequiredService(c) as IPermissionValueProvider)
                    .ToList(),
                true
            );
        }

  这是权限判断的方法,遍历IPermissionValueProvider在Options里面ValueProviders字典

  public virtual async Task<bool> IsGrantedAsync(ClaimsPrincipal claimsPrincipal, string name)
        {
            Check.NotNull(name, nameof(name));

            var permission = PermissionDefinitionManager.Get(name);

            var multiTenancySide = claimsPrincipal?.GetMultiTenancySide()
                                   ?? CurrentTenant.GetMultiTenancySide();

            if (!permission.MultiTenancySide.HasFlag(multiTenancySide))
            {
                return false;
            }

            var isGranted = false;
            var context = new PermissionValueCheckContext(permission, claimsPrincipal);
            foreach (var provider in ValueProviders)
            {
                if (context.Permission.Providers.Any() &&
                    !context.Permission.Providers.Contains(provider.Name))
                {
                    continue;
                }

                var result = await provider.CheckAsync(context);

                if (result == PermissionGrantResult.Granted)
                {
                    isGranted = true;
                }
                else if (result == PermissionGrantResult.Prohibited)
                {
                    return false;
                }
            }

            return isGranted;
        }

 4、IMethodInvocationAuthorizationService,用于拦截器

      protected async Task CheckAsync(IAuthorizeData authorizationAttribute)
        {
            if (authorizationAttribute.Policy == null)
            {
                //TODO: Can we find a better, unified, way of checking if current request has been authenticated
                if (!_currentUser.IsAuthenticated && !_currentClient.IsAuthenticated)
                {
                    throw new AbpAuthorizationException("Authorization failed! User has not logged in.");
                }
            }
            else
            {
                await _authorizationService.CheckAsync(authorizationAttribute.Policy);
            }

            //TODO: What about roles and other props?
        }

 Asp.net Core的认证和授权,ABP进行集成

基于策略的授权是授权的核心,基于角色的授权和基于Scheme的授权,只是一种语法上的便捷,最终都会生成授权策略,使用基于策略的授权时,首先要定义授权策略,而授权策略本质上就是对Claims的一系列断言。

 每一个Requirement都代表一个授权条件;比如DenyAnonymousAuthorizationRequirement 表示禁止匿名用户访问的授权策略;ClaimsAuthorizationRequirement 用于表示判断Cliams中是否包含预期的Claims的授权策略。

因此,我们先定义一个代表操作的Requirement:

   public class PermissionRequirement : IAuthorizationRequirement
    {
        public string PermissionName { get; }

        public PermissionRequirement([NotNull]string permissionName)
        {
            Check.NotNull(permissionName, nameof(permissionName));

            PermissionName = permissionName;
        }
    }

 每一个 Requirement 都需要有一个对应的 Handler,来完成授权逻辑,可以直接让 Requirement 实现IAuthorizationHandler接口,也可以单独定义授权Handler

我们在实现IAuthorizationHandler接口时,通常是继承自AuthorizationHandler<TRequirement>来实现,它有如下定义:

依赖于_permissionChecker进行验证

public class PermissionRequirementHandler : AuthorizationHandler<PermissionRequirement>
    {
        private readonly IPermissionChecker _permissionChecker;

        public PermissionRequirementHandler(IPermissionChecker permissionChecker)
        {
            _permissionChecker = permissionChecker;
        }

        protected override async Task HandleRequirementAsync(
            AuthorizationHandlerContext context,
            PermissionRequirement requirement)
        {
            if (await _permissionChecker.IsGrantedAsync(context.User, requirement.PermissionName))
            {
                context.Succeed(requirement);
            }
        }
    }

授权策略具体表现为一个AuthorizationPolicy对象,要判断的是用户是否具有针对该资源的某项操作,AuthorizationPolicyBuilder,它提供了一系列创建AuthorizationPolicy的快捷方法。

IAuthorizationPolicyProvider是根据名称获取到策略对象,默认实现为DefaultAuthorizationPolicyProvider,从AuthorizationOptions _options里面获取_options.GetPolicy(policyName)

ABP自定义AbpAuthorizationPolicyProvider,派生DefaultAuthorizationPolicyProvider,在GetPolicyAsync方法里从IPermissionDefinitionManager得到permissiondefinition的定义,再利用AuthorizationPolicyBuilder创建AuthorizationPolicy对象

 public override async Task<AuthorizationPolicy> GetPolicyAsync(string policyName)
        {
            var policy = await base.GetPolicyAsync(policyName);
            if (policy != null)
            {
                return policy;
            }

            var permission = _permissionDefinitionManager.GetOrNull(policyName);
            if (permission != null) { //TODO: Optimize & Cache! var policyBuilder = new AuthorizationPolicyBuilder(Array.Empty<string>()); policyBuilder.Requirements.Add(new PermissionRequirement(policyName)); return policyBuilder.Build(); } return null; }

 

 

权限是主要是通过调用IAuthorizationService来完成的,而授权策略的本质是提供 Requirement ,我们完全可以使用它们两个来完成各种灵活的授权方式,而不用局限于策略;在默认的AuthorizationHandlerProvider中,会从DI系统中获取到我们注册的所有Handler,最终调用其HandleAsync方法。;

public class DefaultAuthorizationService : IAuthorizationService
{
    private readonly AuthorizationOptions _options;
    private readonly IAuthorizationHandlerContextFactory _contextFactory;
    private readonly IAuthorizationHandlerProvider _handlers;
    private readonly IAuthorizationEvaluator _evaluator;
    private readonly IAuthorizationPolicyProvider _policyProvider;

    public async Task<AuthorizationResult> AuthorizeAsync(ClaimsPrincipal user, object resource, string policyName)
    {        
        var policy = await _policyProvider.GetPolicyAsync(policyName);
        return await this.AuthorizeAsync(user, resource, policy);
    }

    public async Task<AuthorizationResult> AuthorizeAsync(ClaimsPrincipal user, object resource, IEnumerable<IAuthorizationRequirement> requirements)
    {
        var authContext = _contextFactory.CreateContext(requirements, user, resource);
        var handlers = await _handlers.GetHandlersAsync(authContext);
        foreach (var handler in handlers)
        {
            await handler.HandleAsync(authContext);
            if (!_options.InvokeHandlersAfterFailure && authContext.HasFailed)
            {
                break;
            }
        }
        return _evaluator.Evaluate(authContext);
    }
}

 

public abstract class AuthorizationHandler<TRequirement> : IAuthorizationHandler where TRequirement : IAuthorizationRequirement
{
    public virtual async Task HandleAsync(AuthorizationHandlerContext context)
    {
        foreach (var req in context.Requirements.OfType<TRequirement>())
        {
            await HandleRequirementAsync(context, req);
        }
    }

    protected abstract Task HandleRequirementAsync(AuthorizationHandlerContext context, TRequirement requirement);

 

 public class PermissionRequirementHandler : AuthorizationHandler<PermissionRequirement>
    {
        private readonly IPermissionChecker _permissionChecker;

        public PermissionRequirementHandler(IPermissionChecker permissionChecker)
        {
            _permissionChecker = permissionChecker;
        }

        protected override async Task HandleRequirementAsync(
            AuthorizationHandlerContext context,
            PermissionRequirement requirement)
        {
            if (await _permissionChecker.IsGrantedAsync(context.User, requirement.PermissionName))
            {
                context.Succeed(requirement);
            }
        }
    }

转载于:https://www.cnblogs.com/cloudsu/p/11179967.html

weixin_30929295
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
权限管理模块
正经的博客
06-02 1466
如果你是为自己公司开发系统的话,刚开始很有可能并没有涉及到复杂权限控制,或者当时的开发周期短或者老板拍板决定的不使用或直接用一个int值来控制角色,但随着项目的扩展,会发现权限管理起来越来越麻烦,这个时候你可以考虑直接使用现成的权限管理框架或者自己整一个。而我,选择了后者。
权限模块设计及使用
weixin_30595035的博客
04-25 108
最近一直在做权限那一块,越做越乱,有很多疑问,想和大家探讨交流。希望大家不吝赐教、 1、项目用的是spring security框架,在用这个框架的时候,配置文件的配置就花了很长时间,然后就是将项目中的所有url都进行控制,输入数据库或配到配置文件中。 2、在做的时候,出现了分歧,老大的意思是只控制到菜单级别,有权限就可以看到菜单,没权限就不能看到菜单。但是默认所有的u...
5.权限模块
luisliuyi的专栏
09-08 369
1. 权限:      控制功能的使用。 2. Web应中的权限:     web中,每个功能都有对应的URL地址,对功能的控制就是对URL地址访问的控制。 3.权限方案:     用户的权限就是用户的所有角色的权限的集合。     一个功能是否能被某用户使用,是判断用户权限中是否有这个功能的使用许可。    用户-------角色-------权限
易语言简单提升自身权限模块源码
05-27
易语言简单提升自身权限模块源码例程程序调用API函数RtlAdjustPrivilege提升自身的进程权限。本易语言源码例程属于易语言进阶教程。本源码是提升权限API的例程,遗憾的是没有比较详细的说明。资源作者:。资源下载:...
易语言简单提升自身权限模块
07-18
"易语言简单提升自身权限模块"是一个针对易语言(E语言)编写的模块,旨在帮助程序提升自身的执行权限,以便能执行一些需要更高权限的操作,如修改系统设置、访问受保护的文件等。下面将详细介绍这个模块的核心概念...
学生信息管理系统 教师权限模块 学生权限模块
03-04
教师权限模块 学生权限模块 学生权限模块含有: 1 .增加 2 .显示 3.追加 4.查找 学生信息功能 教师权限模块含有: 1.增加 2.显示 3.追加 4.查找 5 .修改 6.删除 学生信息功能 用到的主要知识: ( 1 )类 ( 2 ...
提升权限模块.rar
03-19
"提升权限模块"通常是指软件或系统中的一个组件,它允许用户在特定条件下获取更高的操作权限,以便执行需要高级权限的任务。这样的模块对于系统管理员、开发者以及需要进行深度系统维护的人员来说尤其重要。 首先,...
ASP.NET安全问题--ASP.NET中的授权问题(前篇)
weixin_34167819的博客
06-19 100
                              ASP.NET安全问题--ASP.NET中的授权问题(前篇)        前言:之前的一些文章谈了一些有关验证的问题,接下来的一些文章就说下授权以及代码访问安全的问题。        在ASP.NET应用程序中,授权就意味着允许访问资源,资源的形式有很多了:文件,数据库,图片等。授权的处理过程基本上是:创建用户或者用户组,然后为他们分...
权限模块设计说明
08-15
权限模块设计文档说明书,精确到按钮的设计。
用户角色权限管理模块
10-18
本工程实现了基础服务中的用户管理,角色管理,权限管理模块
用户,角色,功能管理模块(asp.net)
08-27
asp.net demo程序,自己写的一个框架,有兴趣的我们可以交流一下.net程序的框架设计,msn:lujunyang@hotmail.com
关于权限模块的设计
心如止水 宠辱不惊
08-28 1311
权限模块 一级菜单: class="selected" >${firstMenu.name } 二三级菜单 菜单collapse Folder${secondMenu.name } /${thirdMenu.url
[keel] 权限管理模块(含前后台代码)
czpae86x的专栏
06-12 185
注意:仅供参考,学习之用!支持开源!   关联文章(必看,与权限管理模块有关联): [Extjs4.0] keel_jdbc2.0后台管理模块 (包含前后台源码)   该项目已经包含后台管理模块.   支持浏览器: IE7+ ; firefox 3+;chrome,等.   前端:Extjs V4.0.2 后端:java 数据库:mssql2000 + 服务器:tomcat5...
用户、角色、权限模块
weixin_61634823的博客
05-14 598
一、用户模块 1.1建库建表 1.2通过MyBatis的通用mapper生成entity和dao 1.3在新建一个HttpResult类,用来判断请求成功的内容或请求错误给个提示 1.4在service包下的UserService下写代码(业务) 1.4.1用户注册 /** * 用户注册 * @param phone * @param pwd * @param nickName * @return */ public HttpResult regedit(Stri.
权限模块相关概念介绍
qq_38977566的博客
06-17 695
一、权限概念的介绍 权限:权力和限制(不能做的) 认证:验证用户名密码是否正确的过程 授权:对用户所能访问的资源进行控制(动态显示菜单,url级别的权限控制) 为什么要实现权限系统 首先系统需要进行登陆才能访问 其次不同登陆用户要有不同的权利,而且要有不同的菜单(例如财务经理针对系统中财务相关模块进行 操作,人事经理针对系统中人事模块进行操作)。 权限控制基本原理 1.ACL(Access Control Lists,缩写ACL) ACL是最早也是最基本的一种访问控制机制...
Java:72-项目的权限管理模块
qq_59609098的博客
05-19 2099
项目的权限管理模块 在上一个博客中(71章博客),我们完成了广告管理模块和用户管理模块,接下来我们完成最后的权限管理模块 权限管理模块权限概念介绍: 权限:权利(能做的)和限制(不能做的),在权限范围内做好自己的事情,不该看的不看,不该做的不做 认证: 验证用户名密码是否正确的过程 授权: 对用户所能访问的资源进行控制(动态显示菜单、url级别的权限控制) 为什么要实现权限系统 : 首先系统需要进行登陆才能访问 其次不同登陆用户要有不同的权利 而且要有不同的菜单(例如财务经理针对系统中财务相关模块进行
[WCF权限控制]ASP.NET Roles授权[上篇]
weixin_34191734的博客
07-04 119
在采用Windows认证的情况下,使用基于Windows用户组安全主体权限模式是一个不错的选择。我们可以直接使用现有的用户组设置,也可以为相应的应用或服务创建单独的用户组。但是,由于该模式对Windows认证的依赖,意味着这种模式只能使用于局域网环境中。如果采用证书和Windows帐号的映射,也可以适用于像B2B这样的外部网环境。在其他的网络环境中,基于Windows用户组的授权方式将会无能为力。...
shiro权限模块设计
最新发布
08-14
Shiro的权限模块设计是基于角色的访问控制,主要包括用户身份认证、授权和会话管理。 首先,用户身份认证是指验证用户的身份是否合法。Shiro提供了多种身份认证的方式,如表单认证、基于token认证等。在设计时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值