Openzeppelin库详解-AccessControl

用法实例

AccessControl合约提供了权限管理功能,可以进行分组权限管理,可用实例如下:

// SPDX-License-Identifier: MIT
pragma solidity ^0.8.0;
import {AccessControl} from "@openzeppelin/contracts/access/AccessControl.sol";
contract MyAcess is AccessControl{
    //定义具备对账户进行各个身份组添加、去除的超级身份,需要设置为各个身份组的的admin
    bytes32 public immutable SuperRole;

    //定义身份组,用于限定某些函数只能被在该身份组下的有效账户调用
    bytes32 public immutable ChangeNameRole;

    //定义身份组,用于限定某些函数只能被在该身份组下的有效账户调用
    bytes32 public immutable ChangeAgeRole;

    string public name;
    uint public age;
    constructor() {
        name="default";
        age=10;
        SuperRole=generateRole("SuperRole");

        //为超级用户组自身指定admin
        _setRoleAdmin(SuperRole,SuperRole);
        
        //为超级用户组设置初始账户,否则创建之后,没有办法对任何账户进行身份组添加
        _grantRole(SuperRole,msg.sender);

        ChangeNameRole=generateRole("changeNameRole");

        //为“改名”组指定管理员为超级组
        _setRoleAdmin(ChangeNameRole,SuperRole);
        //_grantRole(ChangeNameRole,msg.sender);

        
        ChangeAgeRole=generateRole("ChangeAgeRole");
        //为“改年龄”组指定管理员为超级组
        _setRoleAdmin(ChangeAgeRole,SuperRole);
        //_grantRole(ChangeAgeRole,msg.sender);
    }
    function generateRole(string memory arg) public pure returns(bytes32 role)
    {
        role=keccak256(abi.encodePacked(arg));
    }
    //通过onlyRole(ChangeNameRole)限定只有在“改名”组中的账户才有权限操作该函数
    function changeName(string memory _name) public onlyRole(ChangeNameRole){
        name=_name;
    }
    //通过onlyRole(ChangeAgeRole)限定只有在“改年龄”组中的账户才有权限操作该函数
    function changeAge(uint _age) public onlyRole(ChangeAgeRole){
        age=_age;
    }
}

合约部署后对外暴露的接口为:

解释下继承自AccessControl的几个函数:

1、grantRole:向指定身份组授权账户地址,使得该账户地址后续可以调用约束于该身份组才能访问的函数,操作该方法的地址要在该身份的管理员身份组账户列表中;

2、renounceRole:解除自身账户地址在某个身份组中的授权,不检查是否为管理员组用户,用于紧急接触自身授权;

3、revoleRole:从指定身份组接触账户地址授权,操作该方法的地址要在该身份的管理员身份组账户列表中;

4、DEFAULT_ADMIN_ROLE:所有身份组的默认管理员id,如果身份组的管理员id未经初始化,其默认值是0,所以DEFAULT_ADMIN_ROLE的值为0x0000000000000000000000000000000000000000000000000000000000000000;

5、getRoleAdmin:获得指定身分组的管理员身份id;

6、hasRole:检查指定账户是否在指定身份组中;

说明下上述合约中的用法:

在合约初始化阶段,生成三个身份组,1)“管理员组”(SuperRole),处于该组中的账户具有授权、接触授权关联身份组账户;2)“改名组”(ChangeNameRole),后续通过modifier限定,使得只有该身份组中的地址可以调用changeName;3)“改年龄组”(ChangeAgeRole),,后续通过modifier限定,使得只有该身份组中的地址可以调用changeAge。然后令“改名组”、“改年龄组”的管理员关联“管理员组”。最后,在changeName函数上添加onlyRole(ChangeNameRole)修饰符,实现只有在“改名组”的账户可以调用该函数;在changeAge函数上添加onlyRole(ChangeAgeRole)修饰符,实现只有在“改年龄组”的账户可以调用该函数。

假设部署合约的地址为address_deploy,初始阶段,address_deploy无法调用changeName和changeAge,执行下grantRole(ChangeNameRole,address_deploy),再次调用,发现changeName调用成功,changeAge调用失败。

代码详解

先看状态变量:

    //存储某个身份组中的有效账户,以及管理员身份id
    struct RoleData {
        mapping(address account => bool) hasRole;
        bytes32 adminRole;
    }

    //存储多个身份组
    mapping(bytes32 role => RoleData) private _roles;
    
    //默认管理员身份id
    bytes32 public constant DEFAULT_ADMIN_ROLE = 0x00;

修饰符onlyRole,用于约束权限在指定身份组:

    modifier onlyRole(bytes32 role) {
        _checkRole(role);
        _;
    }

来看下是如何实现的身份组约束:

    //检查某个身份组中是否对指定账户进行了授权
    function hasRole(bytes32 role, address account) public view virtual returns (bool) {
        return _roles[role].hasRole[account];
    }    


    //获取当前合约的调用地址,然后继续检查该地址是否在指定身分组
    function _checkRole(bytes32 role) internal view virtual {
        _checkRole(role, _msgSender());
    }

    //检查指定该地址是否在指定身分组
    function _checkRole(bytes32 role, address account) internal view virtual {
        if (!hasRole(role, account)) {
            revert AccessControlUnauthorizedAccount(account, role);
        }
    }

还有一些身份组管理方法:

    //获取指定身份组的管理员身份id
    function getRoleAdmin(bytes32 role) public view virtual returns (bytes32) {
        return _roles[role].adminRole;
    }

    //对指定身份组进行账户授权,要求操作该方法的地址必须存在于该身份的管理员组账户列表中
    function grantRole(bytes32 role, address account) public virtual onlyRole(getRoleAdmin(role)) {
        _grantRole(role, account);
    }


    //对指定身份组进行账户授权解除,要求操作该方法的地址必须存在于该身份的管理员组账户列表中
    function revokeRole(bytes32 role, address account) public virtual onlyRole(getRoleAdmin(role)) {
        _revokeRole(role, account);
    }

    //接触自身账户对指定身份组的授权,不验证权限,用于紧急接触,比如钱包地址暴露
    function renounceRole(bytes32 role, address callerConfirmation) public virtual {
        if (callerConfirmation != _msgSender()) {
            revert AccessControlBadConfirmation();
        }

        _revokeRole(role, callerConfirmation);
    }


    //内部方法,为指定身份组设置管理员身份id
    function _setRoleAdmin(bytes32 role, bytes32 adminRole) internal virtual {
        bytes32 previousAdminRole = getRoleAdmin(role);
        _roles[role].adminRole = adminRole;
        emit RoleAdminChanged(role, previousAdminRole, adminRole);
    }

    //内部方法,授权账户
    function _grantRole(bytes32 role, address account) internal virtual returns (bool) {
        if (!hasRole(role, account)) {
            _roles[role].hasRole[account] = true;
            emit RoleGranted(role, account, _msgSender());
            return true;
        } else {
            return false;
        }
    }

    //内部方法,接触授权
    function _revokeRole(bytes32 role, address account) internal virtual returns (bool) {
        if (hasRole(role, account)) {
            _roles[role].hasRole[account] = false;
            emit RoleRevoked(role, account, _msgSender());
            return true;
        } else {
            return false;
        }
    }

  • 9
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Access-Control-Allow-Origin是一个HTTP响应头,用于指定允许访问资源的源(Origin)。在Nginx中配置Access-Control-Allow-Origin可以实现跨域访问。该配置参数的值可以设置为具体的源,也可以设置为通配符"*",表示接受所有的请求源(Origin)。 要在Nginx的配置文件中配置Access-Control-Allow-Origin,可以在nginx.conf文件中的路由部分添加以下代码: location / { add_header Access-Control-Allow-Origin *; add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS'; add_header Access-Control-Allow-Headers 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization'; } 这样配置后,Nginx服务器就可以接受所有跨域的请求,并允许客户端访问资源。另外,还可以通过配置Access-Control-Allow-Methods和Access-Control-Allow-Headers头来指定允许的请求方法和请求头。如果请求方法为OPTIONS,可以设置返回状态码204,表示请求成功,但没有响应内容。 通过以上配置,可以解决Nginx服务器在访问不同IP时报错"No 'Access-Control-Allow-Origin' header is present on the requested resource"的问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [使用nginx解决Access-Control-Allow-Origin问题](https://blog.csdn.net/rgrgrwfe/article/details/123081089)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [Nginx配置跨域请求Access-Control-Allow-Origin * 详解](https://blog.csdn.net/qq_50523945/article/details/131072783)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值