吐槽一下Abp的使用者和租戶管理模組

有態度的小碼甲發表於2020-10-30

1. 背景

ASP.NET Core 基於宣告的訪問控制到底是什麼鬼?

聊到基於宣告的身份認證將 身份和簽發機構分離,應用程式信任簽發機構,故認可簽發的身份資訊。

-- --- --- ---
Claim B站:438962688 Name:飯思思_ weibo:538210234 Name:飯思思van 姓名:不詳 籍貫:九江
ClaimsIdentity 嗶哩嗶哩賬戶 微博賬戶 身份證
ClaimsPrincipal

於是我們通常會有如下:

 var claims = new[] {
    new Claim(nameof(ClaimTypes.NameIdentifier),_authData.Data["userId"].ToString(),ClaimValueTypes.String),
    new Claim(nameof(ClaimTypes.Name),_authData.Data["userName"].ToString(),ClaimValueTypes.String),
    new Claim("profileId",_authData.Data["profileId"].ToString()),
    new Claim("positionId",_authData.Data["positionId"].ToString()),
    new Claim("organizationId",_authData.Data["organizationId"].ToString()),
    new Claim("maxAge",_authData.Data["maxAge"].ToString()),
    };
    // 設定身份卡片內容 、身份卡片核心Name, 這個時候HttpContext.User
   var identity = new ClaimsIdentity(claims, Scheme.Name,nameof(ClaimTypes.Name),nameof(ClaimTypes.Role));
   Context.User = new ClaimsPrincipal(identity);

我們現在可以在Action中使用 HttpContext.User.Identity 獲取宣告的身份資訊。

當我滿心歡喜在Abp vnext中封裝的ICurrentUser介面獲取身份資訊,卻無法獲取身份資訊。

ICurrentUser 封裝了身份資訊,用於獲取有關當前活動的使用者資訊,已經被Abp框架預設注入。
你會在ApplicationSerive、 AbpController看到只讀屬性CurrentUser, 在Abp服務和控制器中是可以即時使用的。

--- ---

| |

2. Abp使用者、租戶管理

AbpICurrentUser獲取不到常規HttpContext.User資訊,是因為使用了特定的封裝,封裝的方式我不能苟同:

以下是 ICurrentUser 介面的基本屬性:

IsAuthenticated 如果當前使用者已登入(已認證),則返回 true. 如果使用者尚未登入,則 Id 和 UserName 將返回 null.
Id (Guid?): 當前使用者的Id,如果使用者未登入,返回 null.
UserName (string): 當前使用者的使用者名稱稱. 如果使用者未登入,返回 null.
TenantId (Guid?): 當前使用者的租戶Id. 對於多租戶 應用程式很有用. 如果當前使用者未分配給租戶,返回 null.
Email (string): 當前使用者的電子郵件地址. 如果當前使用者尚未登入或未設定電子郵件地址,返回 null.
Roles (string[]): 當前使用者的角色. 返回當前使用者角色名稱的字串陣列.
.....

這裡面有幾個問題:

  1. ICurrentUser將使用者id、租戶TenantId硬編碼為GUID
    底層產生的身份id、租戶id若不為GUID,則根本不可用。
    最差的情況也應該用個泛型,由應用決定特定身份片段的型別。

  2. ICurrentUser 修改了IsAuthenticated的取值邏輯:

  • ASP.NET Core官方認證型別不為空,就認為使用者認證通過。
    // --- 來自asp.netcore原始碼:https://github.com/dotnet/runtime/blob/master/src/libraries/System.Security.Claims/src/System/Security/Claims/ClaimsIdentity.cs
   public virtual bool IsAuthenticated
   {
      get { return !string.IsNullOrEmpty(_authenticationType); }
   }
   .....
  • Abp官方則認為UserId不為空,就認為使用者認證通過。
   // ---擷取自abp官方原始碼:Volo.Abp.Users.CurrentUser
    public class CurrentUser : ICurrentUser, ITransientDependency
    {
        private static readonly Claim[] EmptyClaimsArray = new Claim[0];

        public virtual bool IsAuthenticated => Id.HasValue;
        .....
    }
  1. ICurrentUser修改了UserName的取值邏輯:

Abp 將UserId、TenantId 硬編碼為GUID,已經不夠通用;

另外Abp強行變更了ASP.NET Core基於宣告的身份驗證的取值邏輯,若要我們接受,需要一點學習成本。

本次我的專案就是因為UserID、TenantId為String, 在CurrentUser中轉換失敗,Name也取值失敗。

這樣我在專案中就無法使用Abp ApplicationService、Controller的CurrentUser只讀屬性。

3. 針對Abp使用者、租戶管理的應對方法

我的策略,還是向儘量使用Abp框架,儘量做到【對修改封閉,對擴充套件開放】,

於是我仿照Abp的CurrentUser實現了適合自身專案的CurrentUser:

public class CurrentUser: ITransientDependency
{
     private static readonly Claim[] EmptyClaimsArray = new Claim[0];

     public virtual string  Id => _principalAccessor.Principal?.Claims?.FirstOrDefault(c => c.Type == nameof(ClaimTypes.NameIdentifier))?.Value;

     public virtual string UserName => _principalAccessor.Principal?.Claims?.FirstOrDefault(c => c.Type == nameof(ClaimTypes.Name))?.Value;

     public virtual string Email => _principalAccessor.Principal?.Claims?.FirstOrDefault(c => c.Type == nameof(ClaimTypes.Email))?.Value;

     public virtual string TenantId => _principalAccessor.Principal?.Claims?.FirstOrDefault(c => c.Type == "profileId")?.Value;

     public virtual string[] Roles => FindClaims("roleId").Select(c => c.Value).ToArray();

     private readonly ICurrentPrincipalAccessor _principalAccessor;

     public CurrentUser(ICurrentPrincipalAccessor principalAccessor)
     {
         _principalAccessor = principalAccessor;
     }

     public virtual Claim FindClaim(string claimType)
     {
        return _principalAccessor.Principal?.Claims.FirstOrDefault(c => c.Type == claimType);
     }
  }
}

編寫繼承自ApplicationService、AbpController的通用服務類、控制器類,

new關鍵字顯式隱藏從基類繼承的成員

這樣我們既可以使用 Abp框架其他能力,利用new關鍵詞我們也刻意覆蓋了原有的ICurrentUser屬性,

其他同事也不需要額外的認知成本就可以開心地像往常一樣使用CurrentUser屬性。

相關文章