AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

吐槽一下Abp的用户和租户管理模块

2022-04-23 340
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 我们既可以使用 Abp框架其他能力,利用new关键词我们也刻意隐藏了框架原有的ICurrentUser属性

1. 背景


原创文《SP.NET Core 基于声明的访问控制到底是什么鬼?》


聊到基于声明的身份认证将 身份和签发机构分离,应用程序信任签发机构,故认可签发的身份信息。


-- --- --- ---
Claim B站:438962688
Name:饭思思_		 weibo:538210234
Name:饭思思van		 姓名:不详
籍贯:九江
ClaimsIdentity 哔哩哔哩账户 微博账户 身份证
ClaimsPrincipal



于是我们通常会有如下:


var claims = new[] {
    new Claim(nameof(ClaimTypes.NameIdentifier),_authData.Data["userId"].ToString(),ClaimValueTypes.String),
    new Claim(nameof(ClaimTypes.Name),_authData.Data["userName"].ToString(),ClaimValueTypes.String),
    new Claim("profileId",_authData.Data["profileId"].ToString()),
    new Claim("positionId",_authData.Data["positionId"].ToString()),
    new Claim("organizationId",_authData.Data["organizationId"].ToString()),
    new Claim("maxAge",_authData.Data["maxAge"].ToString()),
    };
    // 设置身份卡片内容 、身份卡片核心Name, 这个时候HttpContext.User
   var identity = new ClaimsIdentity(claims, Scheme.Name,nameof(ClaimTypes.Name),nameof(ClaimTypes.Role));
   Context.User = new ClaimsPrincipal(identity);


我们现在可以在Action中使用 HttpContext.User.Identity 获取声明的身份信息。


当我满心欢喜在Abp vnext中封装的ICurrentUser接口获取身份信息,却无法获取身份信息。


ICurrentUser 封装了身份信息,用于获取有关当前活动的用户信息,已经被Abp框架默认注入。


你会在ApplicationSerive、 AbpController看到属性CurrentUser, 在Abp服务和控制器中是可以即时使用的。

f8377c40126b4ee34eb57d6337086002.png40190410336456ae8740ecde9595ec82.png

2. Abp用户、租户管理


AbpICurrentUser获取不到常规HttpContext.User信息,是因为使用了特定的封装,封装的方式我不能苟同:


以下是 ICurrentUser 接口的基本属性:
IsAuthenticated 如果当前用户已登录(已认证),则返回 true. 如果用户尚未登录,则 Id 和 UserName 将返回 null.
Id (Guid?): 当前用户的Id,如果用户未登录,返回 null.
UserName (string): 当前用户的用户名称. 如果用户未登录,返回 null.
TenantId (Guid?): 当前用户的租户Id. 对于多租户 应用程序很有用. 如果当前用户未分配给租户,返回 null.
Email (string): 当前用户的电子邮件地址. 如果当前用户尚未登录或未设置电子邮件地址,返回 null.
Roles (string[]): 当前用户的角色. 返回当前用户角色名称的字符串数组.
.....


这里面有几个问题:


①    ICurrentUser将用户id、租户TenantId硬编码为GUID

项目原始的身份id、租户id若不为GUID,则根本不可用。

最差的情况也应该用个泛型,由应用决定特定身份片段的类型。


②      ICurrentUser 修改了IsAuthenticated的取值逻辑

  • ASP.NET Core官方认证类型不为空,就认为用户认证通过。


// --- 来自asp.netcore源码:https://github.com/dotnet/runtime/blob/master/src/libraries/System.Security.Claims/src/System/Security/Claims/ClaimsIdentity.cs
   public virtual bool IsAuthenticated
   {
      get { return !string.IsNullOrEmpty(_authenticationType); }
   }
   .....


  • Abp官方则认为UserId不为空,就认为用户认证通过。


// ---截取自abp官方源码:Volo.Abp.Users.CurrentUser
    public class CurrentUser : ICurrentUser, ITransientDependency
    {
        private static readonly Claim[] EmptyClaimsArray = new Claim[0];
        public virtual bool IsAuthenticated => Id.HasValue;
        .....
    }


 ③  ICurrentUser修改了UserName的取值逻辑


  • Asp.NetCore检索声明信息中ClaimType==某个NameClaimType的Claim值, 作为身份认证卡片Identity的Name, 更灵活


  • Abp 检索声明信息中ClaimType=="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"的值,作为身份验证卡片的Name, 硬编码


Abp 将UserId、TenantId 硬编码为GUID,已经不够通用;  


另外Abp强行变更了ASP.NET Core基于声明的身份验证的取值逻辑,若要我们接受,需要一点学习成本。


本次我的项目就是因为UserID、TenantId为String,  在Abp CurrentUser中转换失败;Name也取值失败。  


在项目中就无法愉快地使用Abp ApplicationService、AbpController的CurrentUser属性。


3. 针对Abp用户、租户管理的应对方法


我的策略:还是向尽量使用Abp框架,尽量做到【对修改封闭,对扩展开放】,


① 于是我仿照Abp的CurrentUser实现了适合自身项目的CurrentUser:


public class CurrentUser: ITransientDependency
{
     private static readonly Claim[] EmptyClaimsArray = new Claim[0];
     public virtual string  Id => _principalAccessor.Principal?.Claims?.FirstOrDefault(c => c.Type == nameof(ClaimTypes.NameIdentifier))?.Value;
     public virtual string UserName => _principalAccessor.Principal?.Claims?.FirstOrDefault(c => c.Type == nameof(ClaimTypes.Name))?.Value;
     public virtual string Email => _principalAccessor.Principal?.Claims?.FirstOrDefault(c => c.Type == nameof(ClaimTypes.Email))?.Value;
     public virtual string TenantId => _principalAccessor.Principal?.Claims?.FirstOrDefault(c => c.Type == "profileId")?.Value;
     public virtual string[] Roles => FindClaims("roleId").Select(c => c.Value).ToArray();
     private readonly ICurrentPrincipalAccessor _principalAccessor;
     public CurrentUser(ICurrentPrincipalAccessor principalAccessor)
     {
         _principalAccessor = principalAccessor;
     }
     public virtual Claim FindClaim(string claimType)
     {
        return _principalAccessor.Principal?.Claims.FirstOrDefault(c => c.Type == claimType);
     }
}


② 编写继承自ApplicationService、AbpController的通用服务类、控制器类,使用新User类


518422e7a5cb33668bb26ff6b0d5ed09.png


new关键字显式隐藏从基类继承的成员


这样我们既可以使用 Abp框架其他能力,利用new关键词我们也刻意隐藏了框架原有的ICurrentUser属性,


其他同事也不需要额外的认知成本就可以开心地像往常一样使用CurrentUser属性。

文章标签:
.NET
数据安全/隐私保护
开发框架
阿里云马甲哥
目录
相关文章
童小纯
|
6月前
|
前端开发 数据安全/隐私保护
若依框架---权限控制角色设计
若依框架---权限控制角色设计
童小纯
1086 0
邹荣乐
|
28天前
|
存储 JavaScript 前端开发
Vue3权限控制全攻略:路由与组件层面的用户角色与权限管理方法深度解析
Vue3权限控制全攻略:路由与组件层面的用户角色与权限管理方法深度解析
邹荣乐
102 2
游客aqqrrgnlt26tg
|
1月前
|
关系型数据库 API PostgreSQL
如何创建免费版本的ABP分离模块?
如何创建免费版本的ABP分离模块?
游客aqqrrgnlt26tg
37 1
weixin_836869520
|
5月前
|
存储 安全 数据库
管理端开发如何快速理解并实现权限控制总结
管理端开发如何快速理解并实现权限控制总结
weixin_836869520
45 0
1941623231718325
|
6月前
|
数据处理 数据库 开发者
Django中的自定义管理命令:扩展管理功能的途径
【4月更文挑战第15天】Django教程:介绍如何创建和使用自定义管理命令以扩展框架功能。在应用的`management/commands`目录下创建Python文件,继承`BaseCommand`,实现`handle`方法。示例代码展示了如何定义参数和执行逻辑。自定义命令适用于批量数据处理、定期任务、项目初始化和自定义迁移操作。注意文件位置、命令安全性和稳定性。自定义管理命令能提升开发和维护效率。
1941623231718325
63 0
code2roc
|
SQL 存储 前端开发
SpringBoot实现用户统一管理与单点登陆
最近在开发产品的过程中,需要将业务功能拆分成独立子系统,既可以单独使用也可以集成部署,这里就需要对框架进行扩展,支持用户统一管理与单点登陆。我们的基础框架使用redis实现token认证,所以只需要所有子系统共享redis数据就可以实现单点登陆,主要的难点是sso统一用户管理,我们这里选择的是通过监听sso平台组织架构的变动分发同步到各个子系统,这样子系统只依赖sso的登陆/登出/校验凭据三个接口,组织架构查询还是使用具体业务系统数据。
code2roc
147 0
SpringBoot实现用户统一管理与单点登陆
前端歌谣
jira学习案例98-跨组件状态管理
jira学习案例98-跨组件状态管理
前端歌谣
101 0
jira学习案例98-跨组件状态管理
-编程工程师-
|
数据安全/隐私保护
如何设计一个完美的权限管理模块?
我们比较常见的就是基于角色的访问控制,用户通过角色与权限进行关联。简单地说,一个用户拥有多个角色,一个角色拥有多个权限。
-编程工程师-
795 0
如何设计一个完美的权限管理模块?
攻城狮Chova
|
缓存 安全 测试技术
详细解析工作流Activiti框架中的LDAP组件!实现对工作流目录信息的访问控制和维护
本片文章介绍了工作流Activiti框架在企业中应用的场景,也就是集成LDAP使用,通过将Activiti框架连接企业的LDAP实现对企业用户和群组信息的管理。文章从用法,用例,配置,属性几个方面分别详细说明了Acitivi集成LDAP使用的具体方式。
攻城狮Chova
247 0
详细解析工作流Activiti框架中的LDAP组件!实现对工作流目录信息的访问控制和维护
学堂小助手
|
SQL Java 数据库
用户模块之注册功能完成|学习笔记
快速学习 用户模块之注册功能完成
学堂小助手
84 0

热门文章

最新文章

  • 1
    weex-html5 组件进阶
  • 2
    会声会影2023视频编辑软件免费序列号永久
  • 3
    苹果电脑 Mac OS X 系统上防止误按 command+Q 退出软件
  • 4
    SSH连接远程服务器,本地known_hosts文件记录了什么
  • 5
    31.6. MongoDB
  • 6
    saltstack的探索-改善管理用户的sls文件
  • 7
    marathon小知识点分享之如何远程调试marathon
  • 8
    Myeclipse 操作数据库
  • 9
    光伏发电或能控制城市天气
  • 10
    WPF进度条
  • 1
    ROS机器视觉入门:从基础到人脸识别与目标检测
    90
  • 2
    鸿蒙开发:自定义一个简单的标题栏
    32
  • 3
    鸿蒙开发:切换至基于rcp的网络请求
    33
  • 4
    【MyBatisPlus·最新教程】包含多个改造案例,常用注解、条件构造器、代码生成、静态工具、类型处理器、分页插件、自动填充字段
    42
  • 5
    《C++跨平台编译:打破系统边界,释放代码潜能》
    28
  • 6
    电路板设计中射频反馈线的优化
    15
  • 7
    《C++20 图形界面程序:速度与渲染效率的双重优化秘籍》
    14
  • 8
    图解 Spring 循环依赖,一文吃透!
    25
  • 9
    关于 Kafka 高性能架构,这篇说得最全面,建议收藏!
    16
  • 10
    微服务和 SOA 的 6 大核心区别,你都知道吗?
    22

    • 相关课程

    更多
  • 软件用户使用服务及供应商进阶管理

    • 相关电子书

    更多
  • 《用管控策略设定多账号组织全局访问边界》
  • ICA安全标准组测试认证分享
  • 如何创建一个成功的(在业务和开发中)开源项目

    • 相关实验场景

    更多
  • 配置流程编排实现根据天气情况播放歌曲
  • 使用交互方式创建数据表
  • 使用资源编排为云资源批量绑定标签
  • 多账号体系下使用日志服务中心化的管理日志
    • 下一篇
    阿里云OSS设置跨域访问