手工搭建基于ABP的框架(3) - 登录，权限控制与日志

为了防止不提供原网址的转载，特在这里加上原文链接：

http://www.cnblogs.com/skabyy/p/7695258.html

本篇将实现登录、权限控制、日志配置与审计日志的功能。首先我们先实现登录功能，在登录的基础上，通过控权使得只有ID为1988的用户才能创建tweet。最后配置Log4Net日志，并开启审计日志，记录所有Web请求。

简单的界面

为了测试方便，在实现登录功能之前，先简单实现了几个页面：

Tweets列表页面
创建tweet页面
登录页面

页面代码没有什么特别的，这里就不赘述了。

[HttpPost]

[AllowAnonymous]

public ActionResult LoginAjax(LoginInput input)

{

    // 这里应该放验证用户名密码是否正确的代码。

    // 为了测试方便，这里跳过验证，使用任意用户名任意密码都能登录。

    var username = input.Username;

    var ticket = new FormsAuthenticationTicket(

        1 /* version */,

        username,

        DateTime.Now,

        DateTime.Now.Add(FormsAuthentication.Timeout),

        false /* persistCookie */,

        "" /* userData */);

    var userCookie = new HttpCookie(

        FormsAuthentication.FormsCookieName,

        FormsAuthentication.Encrypt(ticket));

    HttpContext.Response.Cookies.Add(userCookie);

    return Json("OK");

}

注意LoginAjax接口要加上AllowAnonymous特性允许匿名访问。为了测试方便，这里没有对用户名密码进行验证，使用任意用户名任意密码都能登录。

用户每次访问时，根据userId创建claim、identity和principal，并把principal赋值给HttpContext.Current.User。这部分代码实现在过滤器。新建过滤器类MvcAuthorizeAttribute：

public class MvcAuthorizeAttribute : AuthorizeAttribute

{

    public override void OnAuthorization(AuthorizationContext filterContext)

    {

        // IIS会从cookie解析出userId并生成一个principal赋值给Thread.CurrentPrincipal

        var userId = Thread.CurrentPrincipal?.Identity?.Name;

        if (!string.IsNullOrEmpty(userId))

        {

            // 创建identity

            var identity = new GenericIdentity(userId);

            // 添加Type为AbpClaimTypes.UserId使userId能注入到AbpSession

            identity.AddClaim(new Claim(AbpClaimTypes.UserId, userId));

            // 创建principal

            var principal = new GenericPrincipal(identity, null);

            // 同步Thread.CurrentPrincipal

            Thread.CurrentPrincipal = principal;

            if (HttpContext.Current != null)

            {

                // 将principal赋值给HttpContext.Current.User，用户就登录进去了。

                HttpContext.Current.User = principal;

            }

        }

        base.OnAuthorization(filterContext);

    }

}

关于claim、identity和principal这三个概念的详细解释可以看这位哥们的博客。然后将过滤器MvcAuthorizeAttribute加到全局过滤器配置：

filters.Add(new MvcAuthorizeAttribute());

注意到过滤器MvcAuthorizeAttribute继承了AuthorizeAttribute。因而将这个过滤器加到全局过滤后，除了带AllowAnonymous特性的Action外，其他Action被未登录用户访问时就会跳转到登录页面。

另外为了让ABP能够使用登录用户信息，要将Type为AbpClaimTypes.UserId，值为userId的Claim添加到Identity里，这样userId会自动注入到AbpSession中。我们在后续代码中也可以通过AbpSession.UserId.HasValue来判断用户是否已登陆。

需要注意的一点是ABP只支持数字类型的userId。所以要确保userId是一个能转成整数的字符串。如果需要其他类型的userId（比如字符串类型）则需要对AbpSession进行扩展。

权限控制

本小节将对创建tweet的权限做进一步的限制，让只有ID为1988的用户才可以创建tweet。为了实现权限控制，我们需要实现三个部分：

定义权限。

新建类MyTweetAuthorizationProvider，在SetPermissions方法中定义创建tweet的权限。MyTweetAuthorizationProvider要继承AuthorizationProvider。

public static class MyTweetPermission

{

    public const string CreateTweet = "CreateTweet";

}

public class MyTweetAuthorizationProvider : AuthorizationProvider

{

    public override void SetPermissions(IPermissionDefinitionContext context)

    {

        context.CreatePermission(MyTweetPermission.CreateTweet);

    }

}

权限判断逻辑。即哪些用户拥有哪些权限的逻辑。

通过实现接口IPermissionChecker来实现自定义的权限判断逻辑。新建类MyTweetPermissionChecker，并将逻辑写在方法IsGrantedAsync中。我们只允许ID为“1988”的用户创建tweet。

public class MyTweetPermissionChecker : IPermissionChecker, ITransientDependency

{

    public IAbpSession AbpSession { get; set; }

    public Task<bool> IsGrantedAsync(string permissionName)

    {

        var userId = AbpSession.GetUserId();

        return IsGrantedAsync(new UserIdentifier(null, userId), permissionName);

    }

    public Task<bool> IsGrantedAsync(UserIdentifier user, string permissionName)

    {

        var userId = user.UserId;

        var t = new Task<bool>(() =>

        {

            if (permissionName == MyTweetPermission.CreateTweet)

            {

                return userId == 1988;

            }

            return true;

        });

        t.Start();

        return t;

    }

}

这里有两个地方要注意。一个是类MyTweetPermissionChecker同时要实现ITransientDependency，才能被自动注入（IPermissionChecker并没有继承ITransientDependency）。另一个地方是方法IsGrantedAsync是异步方法，要返回Task<bool>类型，并且确保返回的task已经Start了。

标记哪些方法（一般是Action或AppService的方法）属于哪些权限。

使用AbpMvcAuthorize将创建tweet的权限标记在Action /Home/CreateTweet上：
```
[AbpMvcAuthorize(MyTweetPermission.CreateTweet)]

public ActionResult CreateTweet()
```
为了让AbpMvcAuthorize能生效，我们还需要让HomeController继承AbpController（在实践中，一般要在AbpController上再封装一个BaseController）。
```
public class HomeController : AbpController
```
并且MyTweetWebModule要依赖AbpWebMvcModule。
```
[DependsOn(

    typeof(AbpWebMvcModule),

    typeof(AbpWebApiModule),

    typeof(MyTweetApplicationModule))]

public class MyTweetWebModule : AbpModule
```
另外，创建tweet的POST接口也要控权。由于WebAPI是取不到AbpSession的（如果一定要用WebAPI只能用其它方法控权），因此我们需要另外做一个MVC版本的接口来控权（然后前端也做相应的修改）：
```
public class TweetController : AbpController

{

    private IMyTweetAppService _myTweetAppService;

    public TweetController(IMyTweetAppService appSvc)

    {

        _myTweetAppService = appSvc;

    }

    [HttpPost]

    [AbpMvcAuthorize(MyTweetPermission.CreateTweet)]

    public ActionResult Create(CreateTweetInput input)

    {

        var tweet = _myTweetAppService.CreateTweet(input);

        return Json(tweet);

    }

}
```
另外，你也可以在应用层上标记权限（前提是你是用MVC接口调用应用层的方法，而非WebAPI）。Controller用AbpMvcAuthorize标记权限，而AppService用AbpAuthorize标记权限。
```
[AbpAuthorize(MyTweetPermission.CreateTweet)]

public object CreateTweet(CreateTweetInput input)
```
测试一下，用“1988”登录可以正常访问（正常访问的不截图了）。而其他用户则提示无访问权限：

日志配置与审计日志

日志配置

ABP框架使用Log4Net来进行日志管理，并且在Log4Net基础上封装了个Abp.Castle.Log4Net包。首先将NuGet包Abp.Castle.Log4Net安装到MyTweet.Web项目。

然后在MyTweet.Web根目录下创建Log4Net的配置文件（你也可以在其他你喜欢的位置创建，只要后面代码里写对路径就行），文件名为log4net.config。下面是我用的配置文件，基本上用的Log4Net默认的配置内容，只是日志存放文件修改到了Logs/Logs.txt。

<?xml version="1.0" encoding="utf-8" ?>

<log4net>

  <appender name="RollingFileAppender" type="log4net.Appender.RollingFileAppender" >

    <file value="Logs/Logs.txt" />

    <appendToFile value="true" />

    <rollingStyle value="Size" />

    <maxSizeRollBackups value="10" />

    <maximumFileSize value="10000KB" />

    <staticLogFileName value="true" />

    <layout type="log4net.Layout.PatternLayout">

        <conversionPattern value="%-5level %date [%-5.5thread] %-40.40logger - %message%newline" />

    </layout>

  </appender>

  <root>

    <appender-ref ref="RollingFileAppender" />

    <level value="DEBUG" />

  </root>

  <logger name="NHibernate">

    <level value="WARN" />

  </logger>

</log4net>

创建好配置文件后，到MvcApplication的Application_Start方法里加上下面这行代码，开启日志功能。

IocManager.Instance.IocContainer.AddFacility<LoggingFacility>(

    f => f.UseAbpLog4Net().WithConfig("log4net.config"));

有个要注意的地方是需要在文件开头加上下面这行using语句，不然f.UseAbpLog4Net会报错。

using Abp.Castle.Logging.Log4Net;

配置好后，我们可以使用依赖注入注入到ILogger接口的Logger对象来写日志。在首页的Action方法中加上几行写日志的代码：

[AllowAnonymous]

public ActionResult Index()

{

    if (AbpSession.UserId.HasValue)

    {

        Logger.Info(string.Format("用户{0}访问了首页！", AbpSession.UserId));

    }

    else

    {

        Logger.Info("匿名用户访问了首页！");

    }

    return View();

}

分别用匿名身份和登录用户身份访问一下首页，然后到MyTweet.Web的根目录下查看Logs/Logs.txt文件：

手工搭建基于ABP的框架(3) - 登录，权限控制与日志

审计日志

*说： “审计跟踪（也叫审计日志）是与安全相关的按照时间顺序的记录，记录集或者记录源，它们提供了活动序列的文档证据，这些活动序列可以在任何时间影响一个特定的操作，步骤或其他”。

对于我们Web应用来说，审计日志负责记录所有用户的请求。如果是硬编码实现的话，我们需要在所有的Action方法里加上记录日志的代码。这显然是既耗时又不科学的。幸运的是我们不需要这么做，ABP框架自带审计日志的功能。只要我们配置好日志功能（前面已经做了），ABP会默认记录所有已登陆用户（通过AbpSession.UserId.HasValue判断是否已登陆）的访问。查看Logs/Logs.txt文件会发现刚才我们访问首页的行为已经被记录到日志里了。

INFO  2017-11-02 15:39:23,055 [29   ] Abp.Auditing.SimpleLogAuditingStore      - AUDIT LOG: MyTweet.Web.Controllers.HomeController.Index is executed by user 1988 in 1 ms from 10.211.55.3 IP address with succeed.

这行日志记录了这些信息：用户名、用户IP地址、访问的方法、响应耗时以及访问结果。另外，在这行日志的开头有这个字段：Abp.Auditing.SimpleLogAuditingStore。这个表示该日志内容是由类Abp.Auditing.SimpleLogAuditingStore处理记录的。该类实现了IAuditingStore接口。如果我们要自定义审计日志的内容，我们需要自己实现这个接口。下面我们实现一个输出中文的审计日志。在MyTweet.Web项目下新建类MyTweetLogAuditingStore：

public class MyTweetLogAuditingStore : IAuditingStore, ITransientDependency

{

    public ILogger Logger { get; set; }

    public MyTweetLogAuditingStore()

    {

        Logger = NullLogger.Instance;

    }

    public Task SaveAsync(AuditInfo auditInfo)

    {

        var userId = auditInfo.UserId;

        var userIp = auditInfo.ClientIpAddress;

        var browserInfo = auditInfo.BrowserInfo;

        var action = $"{auditInfo.ServiceName}.{auditInfo.MethodName}";

        var ms = auditInfo.ExecutionDuration;

        var msg = $"用户{userId}（坐标{userIp}）使用{browserInfo}访问了方法{action}，该方法在{ms}毫秒内进行了回击，回击结果：";

        if (auditInfo.Exception == null)

        {

            Logger.Info(msg + "成功！");

        }

        else

        {

            Logger.Warn(msg + "出错了：" + auditInfo.Exception.Message);

        }

        return Task.FromResult(0);

    }

}

再访问首页，然后看看日志记了啥：

INFO  2017-11-02 16:45:53,374 [35   ] et.Web.App_Start.MyTweetLogAuditingStore - 用户1988（坐标10.211.55.3）使用Chrome / 61.0 / WinNT访问了方法MyTweet.Web.Controllers.HomeController.Index，该方法在77毫秒内进行了回击，回击结果：成功！

关于审计日志的其他配置这里不再多说，有需要的同学可以看这篇博客。

总结

我们已经使用ABP搭建了一个相对完整的tweet应用。它虽然十分简陋，但也是五脏俱全。它能够进行数据库访问，拥有登录、控权、日志等功能。后面会再添加UoW、单元测试等内容。

关于ABP后续的学习和使用，除了查看官方文档外，强烈建议直接阅读ABP的源码。为了弄清楚一些犄角旮旯的细节，在文档里翻找半天往往不如直接查阅代码来得效率高。

手工搭建基于ABP的框架(3) - 登录，权限控制与日志的更多相关文章

手工搭建基于ABP的框架 - 工作单元以及事务管理
一个业务功能往往不只由一次数据库请求(或者服务调用)实现.为了功能的完整性,我们希望如果该功能执行一半时出错,则撤销前面已执行的改动.在数据库层面上,事务管理实现了这种完整性需求.在ABP中,一个完整 ...
手工搭建基于ABP的框架(2) - 访问数据库
为了防止不提供原网址的转载,特在这里加上原文链接: http://www.cnblogs.com/skabyy/p/7517397.html 本篇我们实现数据库的访问.我们将实现两种数据库访问方法来访 ...
revel框架教程之权限控制
Go语言实战 - revel框架教程之权限控制一个站点上面最基本都会有三种用户角色,未登录用户.已登录用户和管理员.这一次我们就来看看在revel框架下如何进行权限控制. 因为revel是MVC结构 ...
SAAS云平台搭建札记&colon; (三) AntDesign + &period;Net Core WebAPI权限控制、动态菜单的生成
我们知道,当下最火的前端框架,非蚂蚁金服的AntDesign莫属,这个框架不仅在国内非常有名,在国外GitHub上React前端框架也排名第一.而且这个框架涵盖了React.Vue.Angular等多 ...
基于RESTful API 怎么设计用户权限控制？
前言有人说,每个人都是平等的:也有人说,人生来就是不平等的:在人类社会中,并没有绝对的公平,一件事,并不是所有人都能去做:一样物,并不是所有人都能够拥有.每个人都有自己的角色,每种角色都有对某种资源 ...
shiro框架的四中权限控制方式
https://www.cnblogs.com/cocosili/p/7103025.html 一.在自定义的realm中进行权限控制在applicationContext.xml文件中添加 /a ...
Go语言实战 - revel框架教程之权限控制
一个站点上面最基本都会有三种用户角色,未登录用户.已登录用户和管理员.这一次我们就来看看在revel框架下如何进行权限控制. 因为revel是MVC结构的,每一个url其实都会映射到一个具体的Cont ...
Servlet过滤器---登录权限控制
实现了登录时权限控制:进入首页.登录页以及登录servlet时,不用验证权限:进入其它页面时,须验证是否登录,未登录则跳转到登录页. 一个简单的首页:index.jsp <%@ page lan ...
struts自己定义拦截器--登录权限控制
说明:该自己定义的拦截器实现用户登录的权限控制. login.jsp--->LoginAction--重定向-->MainAction--->main.jsp 一.1.整体的步骤: ...

随机推荐

算法课堂笔记13—Online Algorithm
今天的算法课是学习离线算法,在计算机科学中,一个在线算法是指它可以以序列化的方式一个个的处理输入,也就是说在开始时并不需要已经知道所有的输入.相对的,对于一个离线算法,在开始时就需要知道问题的所有输入 ...
filter and listener
Java Servlet 是运行在 Web 服务器或应用服务器上的程序,它是作为来自 Web 浏览器或其他 HTTP 客户端的请求和 HTTP 服务器上的数据库或应用程序之间的中间层. 使用 Serv ...
读书笔记——《图解TCP/IP》(3/4)
经典摘抄第五章 IP协议相关技术 1.DNS可以将网址自动转换为具体的IP地址. 2.主机识别码的识别方式:为每台计算机赋以唯一的主机名,在进行网络通信时,可以直接使用主机名称而无需输入一大长串的I ...
【Dijkstra】
[摘自]:华山大师兄,推荐他的过程动画~ myth_HG 定义 Dijkstra算法是典型的单源最短路径算法,用于计算一个节点到其他所有节点的最短路径.主要特点是以起始点为中心向外层层扩展,直到扩 ...
LINQ 基本子句之二 join
Join子句据说可以实现3中连接关系. 1.内部连接——元素的连接关系必须同时满足被连接的两个数据源 2.分组连接 3.左外连接 1.最基本的,内部连接,类似于sql中inner join. 由于st ...
PE文件结构（四）输出表
PE文件结构(四) 參考书:<加密与解密> 视频:小甲鱼解密系列视频输出表一般来说输出表存在于dll中.输出表提供了文件里函数的名字跟这些函数的地址, PE装载器通过输出表来改 ...
TPYBoard v102 DIY照相机（视频和制作流程）
前段时间的帖子,利用TPYBoard v102做的DIY照相机,周末实物终于做出来了,加了两个按键模块和一个5110,做的有点糙啊----望大家勿怪,哈哈哈.拍出来图片还算清晰,串口摄像头模块用的30 ...
RDLC报表刷新问题
使用RDLC做报表,当数据源发生改变时重新绑定数据发现报表没有变化,跟踪时发现数据绑定已经正确执行,前端也显示了加载过程,但内容未刷新. 在代码中使用了 ReportViewer1.LocalRepo ...
react-router V4中的url参数
概述之前写过react在router中传递数据的2种方法,但是有些细节没有理清楚,现在补上,记录下来,供以后开发时参考,相信对其他人也有用. 参考资料:* react rou ...
CF739E Gosha is hunting 【WQS二分 + 期望】
题目链接 CF739E 题解抓住个数的期望即为概率之和使用\(A\)的期望为\(p[i]\) 使用\(B\)的期望为\(u[i]\) 都使用的期望为\(p[i] + u[i] - u[i]p[i] ...