ABP入門系列目錄——學習Abp框架之實操演練
源碼路徑：Github-LearningMpaAbp

完成了簡單的增刪改查和分頁功能，是不是覺得少了點什麼？
是的，少了許可權管理。既然涉及到了許可權，那我們就細化下任務清單的功能點：

• 登錄的用戶才能查看任務清單
• 用戶可以無限創建任務並分配給自己，但只能對自己創建的任務進行查找、修改
• 管理員可以創建任務並分配給他人
• 管理員具有刪除任務的許可權

從以上的信息中，我們可以提取出以下許可權：

1. 任務分配許可權
2. 任務刪除許可權

那我們下麵就來實現針對這兩個許可權的管理：

一、ABP許可權管理的實現

1、先來看看許可權定義相關類型：

從該類型依賴圖中我們可以看出：

• Permission：許可權類，定義了許可權的屬性。
• PermissionDictionary：繼承自Dictionary類，存儲permission對象的字典。
• IPermisssionDefinitionContext：定義了CreatePermission和GetPermissionOrNull方法，分別用來創建和獲取許可權。
• AuthorizationProvider：抽象類，在Module中實現該介面來定義許可權。
• PermissionManager：許可權管理類，繼承自PermissionDefinitionContextBase主要提供了獲取許可權的系列方法。

2、再來看看許可權檢查相關類型

從該類型依賴圖中簡要梳理下核心類：

• IPermissionChecker：從介面命名就明白，這個是用來進行許可權檢查的。我們可以自己實現它，也可以使用module-zero中給出的實現。
• NullPermissionChecker：當未實現IPermissionChecker，系統會預設使用此類將許可權賦予給每個用戶。
• AbpAuthorizeAttribute：許可權檢查特性，在應用服務層標註需要的許可權。
• AbpAllowAnonymousAttribute：匿名訪問特性，忽略許可權檢查，用於應用服務層。在mvc和webapi中使用[AllowAnonymous]。
• AuthorizationInterceptor：授權攔截器，用來攔截定義了AbpAuthorizeAttribute特性的方法。

核心的幾個類就講到這裡，具體的實現，可以自行查看源碼一探究竟。

二、定義許可權

從上節中我們知道在不同的Module中通過繼承AuthorizationProvider來定義許可權。ABP模板項目中已經在領域層，也就是.Core結尾的項目中，定義了xxxxxxAuthorizationProvider類繼承自AuthorizationProvider。

1、許可權包含哪些屬性

• Name：系統中 唯一的名字。最好為許可權的名字定義一個const字元串而不是變數字元串。我們偏向使用“.”符號用於有層次的名字，但這不是強制的。你可以設置任何你喜歡的名字，唯一的一點是保證它必須是唯一的。
• DisplayName：用於以後在UI上顯示許可權的本地化字元串。
• Description：用於以後在UI上顯示許可權定義的本地化字元串。
• IsGrantedByDefault：表示該許可權是否授予給所有登錄的用戶，除非該許可權顯式禁止未授予給用戶。該值一般預設為false。
• MultiTenancySides：對於多租戶應用，租戶或者租主可以使用同一個許可權。這是一個Flags枚舉，因此一個許可權可以用於租戶和租主。
• featureDependency：可以用於聲明一個功能的依賴。因此，只有功能依賴滿足了，該許可權才會被授予。

2、定義任務分配和任務刪除許可權

定位到.Core/Authorization/xxxxAuthorizationProvider.cs，添加以下代碼：

//Tasks
var tasks = pages.CreateChildPermission(PermissionNames.Pages_Tasks, L("Tasks"));
tasks.CreateChildPermission(PermissionNames.Pages_Tasks_AssignPerson, L("AssignTaskToPerson"));
tasks.CreateChildPermission(PermissionNames.Pages_Tasks_Delete, L("DeleteTask"));

併在常量PermissionNames類中維護唯一用戶名。

public const string Pages_Tasks = "Pages.Pages.Tasks";

public const string Pages_Tasks_AssignPerson = "Pages.Pages.Tasks.AssignPerson";

public const string Pages_Tasks_Delete = "Pages.Pages.Tasks.Delete";

需要本地化顯示的，則需要分別維護本地化xml文件，這裡忽略此步。

3、註冊xxxAuthorizationProvider

Abp模板項目預設已經在.Core/xxxCoreModule.cs文件中註冊了。
Configuration.Authorization.Providers.Add<LearningMpaAbpAuthorizationProvider>();
但需要記住，ABP是模塊化的，當你需要為自己自定義的模塊定義許可權時，
不要忘記在自己定義的Module中註冊自己實現的AuthorizationProvider（授權提供器）。

三、許可權檢查

1、使用[AbpAuthorize]特性

在應用服務層中直接使用[AbpAuthorize]特性，但在MVC控制器中使用[AbpMvcAuthorize]特性，Web API控制器中使用[AbpApiAuthorize]。

我們在應用服務層給刪除操作定義許可權檢查：

[AbpAuthorize(PermissionNames.Pages_Tasks_Delete)]
public void DeleteTask(int taskId)
{
    var task = _taskRepository.Get(taskId);
    if (task != null)
        _taskRepository.Delete(task);
}

F5運行，去刪除某一任務，將獲得以下提示：

2、使用IPermissionChecker

刪除任務是一個獨立的操作，所以我們可以直接使用上面特性聲明的方式來進行許可權檢查。
但是針對【任務分配】這個操作，它其實是任務創建、編輯中的一個子操作。所以我們不能直接使用特性聲明的方式來進行許可權檢查。這一次我們使用IPermissionChecker來進行檢查。

2.1、應用服務層註入了PermissionChecker屬性
因為授權一般在應用服務層中進行，所以ABP預設在ApplicationService基類註入並定義了PermissionChecker屬性。這樣，在應用服務層就可以直接使用PermissionChecker屬性進行許可權檢查。
2.2、修改創建任務方法，加入許可權檢查：

public int CreateTask(CreateTaskInput input)
{
    //We can use Logger, it's defined in ApplicationService class.
    Logger.Info("Creating a task for input: " + input);

    //獲取當前用戶
    var currentUser = AsyncHelper.RunSync(this.GetCurrentUserAsync);

    //判斷用戶是否有許可權
    if (input.AssignedPersonId.HasValue && input.AssignedPersonId.Value != currentUser.Id)
        PermissionChecker.Authorize(PermissionNames.Pages_Tasks_AssignPerson);

    var task = Mapper.Map<Task>(input);

    int result = _taskRepository.InsertAndGetId(task);

    //只有創建成功才發送郵件和通知
    if (result > 0)
    {
        task.CreationTime = Clock.Now;

        if (input.AssignedPersonId.HasValue)
        {
            task.AssignedPerson = _userRepository.Load(input.AssignedPersonId.Value);
            var message = "You hava been assigned one task into your todo list.";

            //TODO:需要重新配置QQ郵箱密碼
            //SmtpEmailSender emailSender = new SmtpEmailSender(_smtpEmialSenderConfig);
            //emailSender.Send("[email protected]", task.AssignedPerson.EmailAddress, "New Todo item", message);

            _notificationPublisher.Publish("NewTask", new MessageNotificationData(message), null,
                NotificationSeverity.Info, new[] { task.AssignedPerson.ToUserIdentifier() });
        }
    }

其中許可權檢查代碼為：PermissionChecker.Authorize(PermissionNames.Pages_Tasks_AssignPerson);這種方式當沒有許可權時，將直接拋出異常。當啟用<customErrors mode="On" />時，將跳轉至Error視圖並顯示以下信息。

2.3、修改編輯任務方法，加入許可權檢查：

public void UpdateTask(UpdateTaskInput input)
{
    //We can use Logger, it's defined in ApplicationService base class.
    Logger.Info("Updating a task for input: " + input);

    //獲取當前用戶
    var currentUser = AsyncHelper.RunSync(this.GetCurrentUserAsync);
    //獲取是否有許可權
    bool canAssignTaskToOther = PermissionChecker.IsGranted(PermissionNames.Pages_Tasks_AssignPerson);
    //如果任務已經分配且未分配給自己，且不具有分配任務許可權，則拋出異常
    if (input.AssignedPersonId.HasValue && input.AssignedPersonId.Value != currentUser.Id && !canAssignTaskToOther)
    {
        throw new AbpAuthorizationException("沒有分配任務給他人的許可權！");
    }

    var updateTask = Mapper.Map<Task>(input);
    _taskRepository.Update(updateTask);
}

其中許可權檢查代碼為PermissionChecker.IsGranted(PermissionNames.Pages_Tasks_AssignPerson);，IsGranted()方法返回true or false。

2.4、Razor頁面如何進行許可權檢查
視圖基類定義了IsGranted方法來檢查當前用戶是否具有許可權。我們可以在_List.cshtml.cs中加入以下代碼來控制是否顯示刪除按鈕。

@if (IsGranted(PermissionNames.Pages_Tasks_Delete))
{
    <button type="button" class="btn btn-success" onclick="deleteTask(@task.Id);">Delete</button>
}

2.5、js代碼如何進行許可權檢查
abp.auth命名空間下定義了許可權相關的API，在js中我們可以直接使用。
這裡不再舉例。

總結：

本節主要講解了ABP許可權管理的基本實現方式，以及如何定義許可權和使用許可權進行檢查。
完成了許可權的定義和檢查，我們如何進行許可權設置呢，如何為角色或用戶賦予許可權呢？
在ABP模板項目中暫未提供用戶角色許可權管理功能，但在AbpZero中提供了該功能，支持按用戶或角色賦予許可權。這一節先暫時不表，等我研究通徹了再和大家娓娓道來。

遺留問題：

1. 在模態框上如何彈出異常信息?
2. 如何代碼中為角色賦予許可權？