asp.net core的默认的几种授权方法参考“雨夜朦胧”的系列博客,这里要强调的是asp.net core mvc中的授权和asp.net mvc中的授权不一样,建议先看前面“雨夜朦胧”的博客。

Abp中Controller里面用到的权限验证类为:AbpMvcAuthorizeAttribute,ApplicationService里面用到的权限验证类为:AbpAuthorizeAttribute(见下图)。

AbpMvcAuthorizeAttributeAbpAuthorizeAttribute这两个类全部继承自IAbpAuthorizeAttribute(重要!!!),下面是这两个类的源码。

 namespace Abp.Authorization

 {

     /// <summary>

     /// This attribute is used on a method of an Application Service (A class that implements <see cref="IApplicationService"/>)

     /// to make that method usable only by authorized users.

     /// </summary>

     [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true)]

     public class AbpAuthorizeAttribute : Attribute, IAbpAuthorizeAttribute

     {

         /// <summary>

         /// A list of permissions to authorize.

         /// </summary>

         public string[] Permissions { get; }

         /// <summary>

         /// If this property is set to true, all of the <see cref="Permissions"/> must be granted.

         /// If it's false, at least one of the <see cref="Permissions"/> must be granted.

         /// Default: false.

         /// </summary>

         public bool RequireAllPermissions { get; set; }

         /// <summary>

         /// Creates a new instance of <see cref="AbpAuthorizeAttribute"/> class.

         /// </summary>

         /// <param name="permissions">A list of permissions to authorize</param>

         public AbpAuthorizeAttribute(params string[] permissions)

         {

             Permissions = permissions;

         }

     }

 }
 namespace Abp.AspNetCore.Mvc.Authorization

 {

     /// <summary>

     /// This attribute is used on an action of an MVC <see cref="Controller"/>

     /// to make that action usable only by authorized users.

     /// </summary>

     [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true)]

     public class AbpMvcAuthorizeAttribute : AuthorizeAttribute, IAbpAuthorizeAttribute

     {

         /// <inheritdoc/>

         public string[] Permissions { get; set; }

         /// <inheritdoc/>

         public bool RequireAllPermissions { get; set; }

         /// <summary>

         /// Creates a new instance of <see cref="AbpMvcAuthorizeAttribute"/> class.

         /// </summary>

         /// <param name="permissions">A list of permissions to authorize</param>

         public AbpMvcAuthorizeAttribute(params string[] permissions)

         {

             Permissions = permissions;

         }

     }

 }

重点来啦!!!

 namespace Abp.AspNetCore.Mvc.Authorization

 {

     public class AbpAuthorizationFilter : IAsyncAuthorizationFilter, ITransientDependency

     {

         public ILogger Logger { get; set; }

         private readonly IAuthorizationHelper _authorizationHelper;

         private readonly IErrorInfoBuilder _errorInfoBuilder;

         private readonly IEventBus _eventBus;

         public AbpAuthorizationFilter(

             IAuthorizationHelper authorizationHelper,

             IErrorInfoBuilder errorInfoBuilder,

             IEventBus eventBus)

         {

             _authorizationHelper = authorizationHelper;

             _errorInfoBuilder = errorInfoBuilder;

             _eventBus = eventBus;

             Logger = NullLogger.Instance;

         }

         public async Task OnAuthorizationAsync(AuthorizationFilterContext context)

         {

             // 判断context中是否有继承IAllowAnoymousFilter,有则跳出方法即验证成功

             if (context.Filters.Any(item => item is IAllowAnonymousFilter))

             {

                 return;

             }

        //判断是否是Controller,具体方法见下面第一张截图

             if (!context.ActionDescriptor.IsControllerAction())

             {

                 return;

             }

             //TODO: Avoid using try/catch, use conditional checking

             try

             {

                 await _authorizationHelper.AuthorizeAsync(

                     context.ActionDescriptor.GetMethodInfo(),

                     context.ActionDescriptor.GetMethodInfo().DeclaringType

                 );

             }

             catch (AbpAuthorizationException ex)

             {

                 Logger.Warn(ex.ToString(), ex);

                 _eventBus.Trigger(this, new AbpHandledExceptionData(ex));

                 if (ActionResultHelper.IsObjectResult(context.ActionDescriptor.GetMethodInfo().ReturnType))

                 {

                     context.Result = new ObjectResult(new AjaxResponse(_errorInfoBuilder.BuildForException(ex), true))

                     {

                         StatusCode = context.HttpContext.User.Identity.IsAuthenticated

                             ? (int) System.Net.HttpStatusCode.Forbidden

                             : (int) System.Net.HttpStatusCode.Unauthorized

                     };

                 }

                 else

                 {

                     context.Result = new ChallengeResult();

                 }

             }

             catch (Exception ex)

             {

                 Logger.Error(ex.ToString(), ex);

                 _eventBus.Trigger(this, new AbpHandledExceptionData(ex));

                 if (ActionResultHelper.IsObjectResult(context.ActionDescriptor.GetMethodInfo().ReturnType))

                 {

                     context.Result = new ObjectResult(new AjaxResponse(_errorInfoBuilder.BuildForException(ex)))

                     {

                         StatusCode = (int) System.Net.HttpStatusCode.InternalServerError

                     };

                 }

                 else

                 {

                     //TODO: How to return Error page?

                     context.Result = new StatusCodeResult((int)System.Net.HttpStatusCode.InternalServerError);

                 }

             }

         }

     }

 }
 
AbpAuthorizationFilter继承自IAsyncAuthorizationFilter和ITransientDependency,其中继承自ITransientDependency 是为了注入这个类,继承IAsyncAuthorizationFilter这个接口下面会写到。
其中AbpAuthorizationFilter类的OnAuthorizationAsync这个方法是验证授权的最重要的一个地方,其中_authorizationHelper.AuthorizeAsync是通过反射得到是否有继承自IAbpAuthorizeAttribute接口的特性,即AbpMvcAuthorizeAttributeAbpAuthorizeAttribute,然后得到这个特性标识的权限,然后PermissionChecker检验用户是否具有这个权限。
 
现在我们知道AbpAuthorizationFilter的主要任务就是通过判断controller或者service的标识的权限对比用户是否具有这个权限来达到授权验证。那AbpAuthorizationFilter怎么触发的呢,也就是什么时候调用的呢,,从下图我们可以看出当我们调用AddAbp这个方法时,也就是在Startup类里面调用AddAbp时,就会在MvcOptions里面FilterCollection里面添加AbpAuthorizationFilter,当我们访问一个Controller或者ApplicationService时就会触发这个filter,判断权限。

拓展:当我们有某个业务需要用到AOP时,但又不想使用一些第三方框架,我们就可以借鉴上面的方法,定义一个特性,然后定义一个Filter,在Filter里面判断Controller等是否使用这些特性,并且特性的属性是否符合我们的需求,最后在Startup里面AddMvc时将这个Filter添加到FilterCollection里面。例如下图,自动验证AntiforgeryToken

ABP框架源码学习之授权逻辑的更多相关文章

  1. ABP框架源码学习之修改默认数据库表前缀或表名称

    ABP框架源码学习之修改默认数据库表前缀或表名称 1,源码 namespace Abp.Zero.EntityFramework { /// <summary> /// Extension ...

  2. Golang源码学习:调度逻辑(二)main goroutine的创建

    接上一篇继续分析一下runtime.newproc方法. 函数签名 newproc函数的签名为 newproc(siz int32, fn *funcval) siz是传入的参数大小(不是个数):fn ...

  3. 集合框架源码学习之ArrayList

    目录: 0-0-1. 前言 0-0-2. 集合框架知识回顾 0-0-3. ArrayList简介 0-0-4. ArrayList核心源码 0-0-5. ArrayList源码剖析 0-0-6. Ar ...

  4. CI框架源码学习笔记1——index.php

    做php开发一年多了,陆陆续续用过tp/ci/yii框架,一直停留在只会使用的层面上,关于框架内部的结构实际上是不甚了解的.为了深入的学习,决定把CI框架的源码从头到尾的学习一下, 主要因为CI框架工 ...

  5. axel源码学习(0)——程序逻辑

    axel简介 axel是一个命令行下的轻量级http/ftp 下载加速工具,支持多线程下载和断点续传,支持从多个镜像下载同一文件. axel的用法如下: 图 0.1 axel usage axel 粗 ...

  6. 集合框架源码学习之HashMap(JDK1.8)

    目录: 0-1. 简介 0-2. 内部结构分析 0-2-1. JDK18之前 0-2-2. JDK18之后 0-3. LinkedList源码分析 0-3-1. 构造方法 0-3-2. put方法 0 ...

  7. 集合框架源码学习之LinkedList

    0-1. 简介 0-2. 内部结构分析 0-3. LinkedList源码分析 0-3-1. 构造方法 0-3-2. 添加add方法 0-3-3. 根据位置取数据的方法 0-3-4. 根据对象得到索引 ...

  8. CI框架源码学习笔记7——Utf8.php

    愉快的清明节假期结束了,继续回到CI框架学习.这一节我们来看看Utf8.php文件,它主要是用来做utf8编码,废话不多说,上代码. class CI_Utf8 { /** * Class const ...

  9. CI框架源码学习笔记2——Common.php

    上一节我们最后说到了CodeIgniter.php,可是这一节的标题是Common.php,有的朋友可能会觉得很奇怪.事实上,CodeIgniter.php其实包含了ci框架启动的整个流程. 里面引入 ...

随机推荐

  1. IOS开发之纯代码界面--基本控件使用篇 ┊

    http://www.cocoachina.com/bbs/read.php?tid=131516

  2. Angular 2 前端 http 传输 model 对象及其外键的问题

    个人随笔,记录问题及思路草稿,非文章性质.     对于设备编辑场景,需要显示设备类型(外键),   前端有如下 TypeScript model(此 model 和后端实体 model 通常相对应) ...

  3. pjax 笔记

    PJAX的基本思路是,用户点击一个链接,通过ajax更新页面变化的部分,然后使用HTML5的pushState修改浏览器的URL地址,这样有效地避免了整个页面的重新加载.如果浏览器不支持history ...

  4. SuperSocket基础一

    SuperSocket基础(一)——————基本概念 项目中之前一直使用TCP socket服务框架,但是不利于扩展.最近刚接触到开源的superSocket感觉很不错,特记录一下.官方开源地址:ht ...

  5. SNMP PDU解析

    (注:此文章仅为个人学习,研究,原创作者:Penguinbupt,原创文章网址:http://blog.csdn.net/u010566813/article/details/50490858) SN ...

  6. visual studio 中无法删除项目或者文件

    vs 2012添加新项目或者类库后,里边的class文件,我不想要,就把它删除.但是删除的时候,报如下图的错误,我删除新建的项目或类库的时候,也报类似的错误,怎么解决? window系统是新安装的.也 ...

  7. IO (五)

    1 序列化和反序列化 1.1 ObjectOutputStream 序列化 1.1.1 概述 ObjectOutputStream将Java对象的基本数据写入OutputStream,可以使用Obje ...

  8. 【转】 C++易混知识点4: 自己编写一个智能指针(Reference Counting)学习auto_ptr和reference counting

    这篇文章建大的介绍了如何编写一个智能指针. 介绍: 什么是智能指针?答案想必大家都知道,智能指针的目的就是更好的管理好内存和动态分配的资源,智能指针是一个智能的指针,顾名思义,他可以帮助我们管理内存. ...

  9. Django中不返回QuerySets的API -- Django从入门到精通系列教程

    该系列教程系个人原创,并完整发布在个人官网刘江的博客和教程 所有转载本文者,需在顶部显著位置注明原作者及www.liujiangblog.com官网地址. Python及Django学习QQ群:453 ...

  10. 架设rsync服务器同步数据

    什么是rsync rsync 是一个快速增量文件传输工具,它可以用于在同一主机备份内部的备分,我们还可以把它作为不同主机网络备份工具之用.本文主要讲述的是如何自架rsync服 务器,以实现文件传输.备 ...