权限系统主要定义为管理员增删改查权限数据,直接读取数据库,权限系统服务主要定义为供其他系统调用的权限验证接口,定义为两个不同的微服务。

  权限系统有一个特点,数据变动比较小,数据量本身并不是很大,访问量非常大,项目如果做了后端权限验证(其实为了项目数据的安全,必须每一个模块都需要做后端权限验证),那么每访问一个功能模块都会访问权限相关的数据。

  权限系统可能是集中管理的,即每一个不同的系统都需要访问权限中心数据,那这个访问量就会成倍的增加。

  我看到的很多权限控制都是直接读取数据库,这个带来的问题也很明显,性能较差,数据库压力大,包括Abp框架以及他的zero项目,数据库及项目性能都受权限系统拖累。

  基于以上原因,权限系统完全可以存储到缓存中。

Abp中的缓存

  Abp中是通过ICacheManager进行缓存管理了,他只是一个容器,真正的缓存是实现了ICache的类,Abp实现了两种缓存,一个是基于内存的AbpMemoryCache(Microsoft.Extensions.Caching.Memory. MemoryCache),一个是基于Redis的AbpRedisCache(使用StackExchange.Redis)

  单节点部署,直接用AbpMemoryCache即可,如果是分布式部署,则最好用Memcached实现,权限数据不需要持久化到物理介质,纯缓存。

缓存Key设计

  缓存Key格式定义为“AuthCenterService.实体名称.租户Id”,租户Id为空,固定写为-1,如果没有存储租户Id,则缓存整张表数据。代码示例:

public List<SEC_Dept> GetTenantSEC_Depts(int? tenantId)

        {

            string strTenant = tenantId.HasValue ? tenantId.Value.ToString() : "-1";

            return _cache.Get($"{AuthCenterServiceModule.ModuleName}.{AuthCenterCacheConst.SEC_Dept}.{strTenant}", () => GetFromRepository(false,tenantId));

        }

        public List<SEC_Dept> GetAllSEC_Depts()

        {

            return _cache.Get($"{AuthCenterServiceModule.ModuleName}.{AuthCenterCacheConst.SEC_Dept}.All", () => GetFromRepository(true));

        }

        public List<SEC_Dept> GetFromRepository(bool isAll, int? tenantId = null)

        {

            UnitOfWorkOptions unitOfWorkOptions = new UnitOfWorkOptions();

            unitOfWorkOptions.IsTransactional = false;

            unitOfWorkOptions.IsReadDb = true;

            using (var uow = _unitOfWorkManager.Begin(unitOfWorkOptions))

            {

                if (isAll)

                {

                    _unitOfWorkManager.Current.DisableFilter(AbpDataFilters.MayHaveTenant);

                    var result = _repository.GetAllList();

                    uow.Complete();

                    return result;

                }

                else

                {

                    _unitOfWorkManager.Current.SetTenantId(tenantId);

                    var result = _repository.GetAllList();

                    uow.Complete();

                    return result;

                }

            }

        }

缓存Key的清除

  在权限数据有变换,或者有些情况人为的修改了权限数据,需要定义接口,删除对应的缓存,代码如下:

/// <summary>

        /// 清空租户部门缓存

        /// </summary>

        /// <param name="tenantId">租户Id</param>

        public void ClearSEC_DeptCache(int? tenantId)

        {

            string strTenant = tenantId.HasValue ? tenantId.Value.ToString() : "-1";

            var cacheKey = $"{AuthCenterServiceModule.ModuleName}.{AuthCenterCacheConst.SEC_Dept}.{strTenant}";

            _cache.Remove(cacheKey);

        }

/// <summary>

        /// 清空特定租户权限管理所有缓存

        /// </summary>

        public void ClearTenantAll(int? tenantId)

        {

            ClearSEC_AdminUserCache(tenantId);

            ClearSEC_ModuleCache(tenantId);

            ClearSEC_OperateCache(tenantId);

            ClearSEC_RoleCache(tenantId);

            ClearSEC_DeptCache(tenantId);

            ClearSEC_ModuleSEC_RoleCache(tenantId);

            ClearSEC_OperateSEC_RoleCache(tenantId);

            ClearSEC_RoleSEC_AdminUserCache(tenantId);

        }

  定义数据修改事件,页面修改了权限数据,触发事件,调用权限系统提供的服务,清除对应的缓存。

public class SEC_DeptEventHandler : IEventHandler<EntityChangedEventData<SEC_Dept>>, ISingletonDependency

    {

        private readonly IAbpSession _abpSession;

        public SEC_DeptEventHandler(IAbpSession abpSession)

        {

            _abpSession = abpSession;

        }

        public void HandleEvent(EntityChangedEventData<SEC_Dept> eventData)

        {

            Rpc.Call<dynamic>("AuthCenterService.AuthCenterCacheAppService.ClearSEC_DeptCache", _abpSession.TenantId);

        }

    }

操作权限验证

  操作权限验证可能在用户的每一个动作都会触发,我这里的设计是用户在登录的时候,把用户的所有角色Id解析出来,存储到accesstoken信息里面(自定义Claims),修改Abp里面的IAbpSession接口,增加RoleIds字段(和UserId一样,从Claims里面读取),将每一个操作Code对应的角色Id集合存储到缓存里面,那么验证用户是否拥有某一个操作权限时,直接从缓存里面读取角色Id集合,判断用户拥有的角色Id是否包含在里面,达到验证目的。

public interface IAbpSession

    {

        // ......

        /// <summary>

        /// 存储用户角色Id集合,用于操作权限验证

        /// </summary>

        string RoleIds { get; }

        /// <summary>

        /// 用户请求的Token

        /// </summary>

        string AccessToken { get; }

}

  在构造AccessToken的时候,添加RoleIds申明

public AuthenticateResultModel Authenticate(LoginResultModel loginResultModel)

        {

            List<Claim> claims = new List<Claim>();

            claims.Add(new Claim(AbpClaimTypes.UserId, loginResultModel.UserId.ToString()));

            if (loginResultModel.TenantId.HasValue)

            {

                claims.Add(new Claim(AbpClaimTypes.TenantId, loginResultModel.TenantId.ToString()));

            }

            claims.Add(new Claim(AbpClaimTypes.RoleIds, loginResultModel.RoleIds)); // 添加用户角色申明

            claims.Add(new Claim(AbpClaimTypes.UserName, loginResultModel.UserName));

            var accessToken = CreateAccessToken(claims);

            return new AuthenticateResultModel

            {

                AccessToken = accessToken,

                EncryptedAccessToken = GetEncrpyedAccessToken(accessToken),

                ExpireInSeconds = (int)_configuration.Expiration.TotalSeconds,

                UserId = loginResultModel.UserId

            };

        }

  操作权限验证

public bool CheckAdminUserOperate(string roleIds, int? tenantId, string operateCode)

        {

            if (string.IsNullOrEmpty(roleIds))

            {

                return false;

            }

            var strOperateRoleIds = GetOperateRoleIdsFromCache(tenantId, operateCode);

            if (string.IsNullOrEmpty(strOperateRoleIds))

            {

                return false;

            }

            strOperateRoleIds = ";" + strOperateRoleIds + ";";

            var userRoleIds = roleIds.Split(new char[] { ';' });

            return userRoleIds.Any(r => strOperateRoleIds.Contains($";{r};"));

        }

        private string GetOperateRoleIdsFromCache(int? tenantId, string operateCode)

        {

            string strTenant = tenantId.HasValue ? tenantId.Value.ToString() : "-1";

            var cacheOperateRoleIdss = _cache.Get($"{AuthCenterServiceModule.ModuleName}.{AuthCenterCacheConst.OperateRoleIds}.{strTenant}"
                        , () => GetOperateRoleIds());

            if (!cacheOperateRoleIdss.ContainsKey(operateCode))

            {

                cacheOperateRoleIdss.Add(operateCode, GetOperateRoleIds(tenantId, operateCode));

            }

            return cacheOperateRoleIdss[operateCode];

        }

        private string GetOperateRoleIds(int? tenantId, string operateCode)

        {

            var tennantOperate = _sEC_OperateDomainService.GetTenantSEC_Operates(tenantId).FirstOrDefault(r => r.Code == operateCode);

            if (tennantOperate == null)

            {

                return string.Empty;

            }

            return _sEC_OperateSEC_RoleDomainService.GetTenantSEC_OperateSEC_Roles(tenantId).Where(r => r.SEC_Operate_Id == tennantOperate.Id)
            .Select(r => r.SEC_Role_Id.ToString()).Aggregate((r, t) => r + ";" + t);

        }

企业级工作流解决方案(十一)--集成Abp和ng-alain--权限系统服务的更多相关文章

  1. 企业级工作流解决方案(十二)--集成Abp和ng-alain--用户身份认证与权限验证

    多租户 如果系统需要支持多租户,那么最好事先定义好多租户的存储部署方式,Abp提供了几种方式,根据需要选择,每一个用户身份认证与权限验证都需要完全的隔离 这里设计的权限数据全部存储在缓存中,每个租户单 ...

  2. 企业级工作流解决方案(十三)--集成Abp和ng-alain--数据库读写分离

    说到程序里面数据库管理,无非就是两件事情,一是数据库操作,对于数据库的操作,各种程序语言都有封装,也就是所谓的ORM框架,.net 方向一般用得比较多和就是.net framework和dapper, ...

  3. 企业级工作流解决方案(十五)--集成Abp和ng-alain--Abp其他改造

    配置功能增强 Abp定义了各种配置接口,但是没有定义这些配置数据从哪里来,但是管理配置数据对于一个应用程序来说,是必不可少的一件事情. .net的配置数据管理,一般放在Web.config文件或者Ap ...

  4. 企业级工作流解决方案(十四)--集成Abp和ng-alain--自动化脚本

    对于.net方向,做过自动化的,应该没有人不熟悉msbuild吧,非常强大的代码编译工具,.net平台的编译工作都是交给他来完成的,包括.net core的命令,本质上都是调用msbuild来执行的 ...

  5. 企业级工作流解决方案(十)--集成Abp和ng-alain--权限系统

    权限系统 应用系统离不开权限控制,权限中心不一定能抽象出所有的业务场景,这里定义的权限系统不一定能够满足所有的场景,但应该可以满足多数的业务需求. Abp的zero项目也定义了权限相关的表,但里面很多 ...

  6. 企业级工作流解决方案(六)--微服务消息处理模型之与Abp集成

    身份认证传递 对于Abp比较熟悉的朋友应该对他里面的用户身份认证比较熟悉,他是通过实现微软提供的权限认证方式实现的,用户登录身份信息存储在System.Security.Claims.ClaimsPr ...

  7. 企业级工作流解决方案(八)--微服务Tcp消息传输模型之服务端处理

    服务端启动 服务端启动主要做几件事情,1. 从配置文件读取服务配置(主要是服务监听端口和编解码配置),2. 注册编解码器工厂,3. 启动dotnetty监听端口,4. 读取配置文件,解析全局消息处理模 ...

  8. 企业级工作流解决方案(九)--微服务Tcp消息传输模型之客户端处理

    客户端启动 客户端启动主要做三件事情,1. 从配置文件读取服务调用配置,存储到全局对象中.2. 指定客户端编解码器工厂.3. 预连接,即预先建立与服务端的通信Chanel. [DependsOn(ty ...

  9. 企业级工作流解决方案(七)--微服务Tcp消息传输模型之消息编解码

    Tcp消息传输主要参照surging来做的,做了部分裁剪和改动,详细参见:https://github.com/dotnetcore/surging Json-rpc没有定义消息如何传输,因此,Jso ...

随机推荐

  1. C# 面试前的准备_基础知识点的回顾_03

    1.HTTP中Post和Get区别 这忒简单了吧,大家是不是感觉到兴奋了,长舒一口气了,终于出现了一个可以聊上10分钟的问题了. 根据HTTP规范,Get用于信息获取,而且应该是安全的和幂等的. 参数 ...

  2. 一文带你趟过mac搭建appium测试环境的遇到的坑

    做UI自动化,最难的一步就是在环境搭建上,怎么去搭建一个UI自动化测试的环境,会难住很多人,在Mac上搭建appium如何搭建呢,本文带着大家去领略如何在mac上搭建appium测试环境.下面就是详细 ...

  3. APP后台架构开发实践笔记

    1 App后台入门 1.1 App后台的功能 (1)远程存储数据: (2)消息中转. 1.2 App后台架构 架构设计的流程 (1) 根据App的设计,梳理出App的业务流程: (2) 把每个业务流程 ...

  4. IDEA创建maven项目没有src/main/java目录问题解决

    IDEA创建maven项目没有src/main/java目录问题解决          今天新建一个maven项目的时候,没有src文件目录,查了网上很多,依然没有解决,后来发现是VM Options ...

  5. Dynamic 365 学习(1)

    一 创建解决方案 1.点击下拉菜单 2.找到设置并选择 3.点击解决方案 进入解决方案  该页面会显示你的所有的解决方案  你新建之后的可以在这里进行查看,也可以新增 删除  ... 这里我们先新建一 ...

  6. Pycharm激活码(2020最新永久激活码)

    如果下边的Pycharm激活码过期失效了的话,大家可以关注我的微信公众号:Python联盟,然后回复"激活码"即可获取最新Pycharm永久激活码! 56NPDDVEIV-eyJs ...

  7. .net core中的哪些过滤器

    前言 书承接上文,咱们上回说到,.net core中各种日志框架, 今天我讲讲.net core中的内置过滤器吧! 1.什么是过滤器? ASP.NET Core中的筛选器允许代码在请求处理管道中的特定 ...

  8. 【软件配置】JDK+AndroidStudio4.1开发安卓APP环境安装和配置教程详细

    目录 一.专业名词 二.搭建前资源准备 2.1 JDK资源下载 2.2 AndroidStudio下载 三.安装 3.1 JDK安装配置 3.2 AndroidStudio安装 四.创建安卓APP工程 ...

  9. 下载eclipse及其插件

    1.安装JDK 2.配置JAVA_HOME 3.具体下载地址 (1)JDK的下载和安装 jdk官网 http://www.oracle.com/technetwork/java/javase/down ...

  10. 问题记录-CoordinatorLayout+WebView使用遇到的问题

    需求背景: 使用CoordinatorLayout+viewpager+tablayout+webview实现首页折叠效果. 使用问题: 在使用过程中首页的页面为原生/h5混合页,在原生页面正常,嵌套 ...