參數有效性驗證
應用程序的輸入數據首先應該被檢驗是否有效。輸入的數據能被用戶或其他應用程序提交。在Web應用中,通常進行2次數據有效性檢驗:包括客戶端檢驗和服務端檢驗。客戶端的檢驗主要是使用戶有一個好的用戶體驗。 首先最好是在客戶端檢驗其表單輸入的有效性並且展示給客戶端的那些字段輸入是無效的。但是,服務器端的校驗是更關鍵和不可缺失的(不要只做客戶端檢驗而不做服務器端檢驗)。
服務器端的檢驗通常是被應用服務(層)執行,應用服務(層)中的方法首先檢驗數據的有效性,然後才使用這些通過驗證的數據。ABP的基礎設施提供了自動檢驗輸入數據有效性的方法。
應用服務(層)方法得到一個數據傳輸對象(DTO)作為輸入。ABP有一個IValidate的接口,DTO通過實現這個接口能夠檢驗數據的有效性。由於IInputDto擴展自IValidate,所以你可以直接實現IInputDto 接口來對數據傳輸對象(DTO)檢驗其有效性。
使用數據注解
ABP提供數據注解的特性。假設我們正在開發一個創建任務的應用服務並且得到了一個輸入,請看下面示例:
public class CreateTaskInput : IInputDto { public int? AssignedPersonId { get; set; } [Required] public string Description { get; set; } }
在這裡,Description 屬性被標記為 Required。AssignedPersonId 是可選的。在 System.ComponentModel.DataAnnotations 命名空間中,還有很多這樣的特性 ( 例如: MaxLength, MinLength, RegularExpression 等等 )。
在System.ComponentModel.DataAnnotations 命名空間中,請看Task application service 的實現
public class TaskAppService : ITaskAppService { private readonly ITaskRepository _taskRepository; private readonly IPersonRepository _personRepository; public TaskAppService(ITaskRepository taskRepository, IPersonRepository personRepository) { _taskRepository = taskRepository; _personRepository = personRepository; } public void CreateTask(CreateTaskInput input) { var task = new Task { Description = input.Description }; if (input.AssignedPersonId.HasValue) { task.AssignedPerson = _personRepository.Load(input.AssignedPersonId.Value); } _taskRepository.Insert(task); } }
正如你所看到的,這裡沒有寫任何的數據驗證性代碼(指對Description屬性的驗證)因為ABP會自動去檢驗數據的有效性。ABP也會檢驗輸入數據是否為null。如果為空則會拋出AbpValidationException 異常。所以你不需要寫檢驗數據是否為null值的代碼。如果有任何屬性的輸入數據是無效的它也會拋出相同的異常。
這個機制近似於 ASP.NET MVC 的驗證功能,注意:這裡的應用服務類不是繼承自Controller,它是用在Web應用的一個普通類。
自定義檢驗
如果數據注解的方式不能滿足你的需求,你可以實現ICustomValidate接口,請看下面示例:
public class CreateTaskInput : IInputDto, ICustomValidate { public int? AssignedPersonId { get; set; } public bool SendEmailToAssignedPerson { get; set; } [Required] public string Description { get; set; } public void AddValidationErrors(List<ValidationResult> results) { if (SendEmailToAssignedPerson && (!AssignedPersonId.HasValue || AssignedPersonId.Value <= 0)) { results.Add(new ValidationResult("AssignedPersonId must be set if SendEmailToAssignedPerson is true!")); } } }
設置缺省值
在檢驗數據有效性後,我們需要執行一個額外的操作來整理DTO參數。ABP定義了一個IShouldNormalize接口,這個接口聲明了一個 Normalize的方法。如果你實現了這個接口,在檢驗數據有效性後,Normalize方法會被調用。假設我們的DTO需要一個排序方向的數據。如果這個Sorting屬性沒有被提供數據,那麼在Normalize我們可以給Sorting設置一個缺省值。
public class GetTasksInput : IInputDto, IShouldNormalize { public string Sorting { get; set; } public void Normalize() { if (string.IsNullOrWhiteSpace(Sorting)) { Sorting = "Name ASC"; } } }
權限驗證
幾乎所有的企業級應用程序都會有不同級別的權限驗證。權限驗證是用於檢查用戶是否允許某些指定操作。Abp有基礎設施讓你來實現權限驗證。
注意:關於IPermissionChecker接口
Abp權限系統使用IPermissionChecker去檢查授權。同時你可以根據需要實現你自己的方式,在module-zero項目中已經完整實現了。如果IPermissionChecker沒有被實現,NullPermissionChecker會被使用於授權所有權限給每個人。
定義權限
在使用驗證權限前,我們需要為每一個操作定義唯一的權限。Abp的設計是基於模塊化,所以不同的模塊可以有不同的權限。為了定義權限,一個模塊應該創建AuthorizationProvider的派生類。MyAuthorizationProvider繼承自AuthorizationProvider,換句話說就是AuthorizationProvider派生出MyAuthorizationProvider。例子如下:
public class MyAuthorizationProvider : AuthorizationProvider { public override void SetPermissions(IPermissionDefinitionContext context) { var administration = context.CreatePermission("Administration"); var userManagement = administration.CreateChildPermission("Administration.UserManagement"); userManagement.CreateChildPermission("Administration.UserManagement.CreateUser"); var roleManagement = administration.CreateChildPermission("Administration.RoleManagement"); } }
IPermissionDefinitionContext 有方法去獲取和創建權限。
一個權限有以下屬性:
一個權限可以有父權限和子權限。當然,這不會影響權限檢查,它只是在UI層對權限歸類有好處。創建authorizationprovider之後,我們應該在模塊的PreIntialize方法對它進行注冊。如下:
Configuration.Authorization.Providers.Add<MyAuthorizationProvider>()
authorizationprovider會自動注冊到依賴注入系統中。因此,authorization provider可以注入任何依賴(像是Repository)從而使用其他資源去創建權限定義。
檢查權限
1.使用AbpAuthorize特性(Using AbpAuthorize attribute)
AbpAuthorize(AbpMvcAuthorize 對應 MVC Controllers and AbpApiAuthorize 對應 Web API Controllers)特性是最簡單和常用的方法去檢查權限。請考慮如下application service方法:
[AbpAuthorize("Administration.UserManagement.CreateUser")] public void CreateUser(CreateUserInput input) { //A user can not execute this method if he is not granted for "Administration.UserManagement.CreateUser" permission. }
沒有獲得“Administration.UserManagement.CreateUser”權限的用戶不能夠調用CreateUser。
AbpAuthorize 特性也檢查當前用戶是否登錄 (使用 IAbpSession.UserId)。因此,如果我們將某個方法聲明為AbpAuthorize 特性,它至少會檢查用戶是否登錄。代碼如下: [AbpAuthorize]
public void SomeMethod(SomeMethodInput input) { //A user can not execute this method if he did not login. }
2.AbpAuthorize屬性說明(AbpAuthorize attribute notes)
Abp使用動態方法攔截進行權限驗證。因此,使用AbpAuthorize特性的方法會有些限制。如下:
不能應用於私有(private)方法
不能應用於靜態(static)方法
不能應用於非注入(non-injected)類(我們必須用依賴注入)。
此外,
AbpAuthorize特性可以應用於任何的Public方法,如果此方法被接口調用(比如在Application Services中通過接口調用)
方法是虛(virtual)方法,如果此方法直接被類引用進行調用(像是ASP.NET MVC 或 Web API 的控制器)。
方式是虛(virtual)方法,如果此方法是protected。
注意:有三種AbpAuthorize 特性:
(1)在應用程序服務中(application layer),我們使用Abp.Authorization.AbpAuthorize;
(2)在MVC控制器(web layer)中,我們使用Abp.Web.Mvc.Authorization.AbpMvcAuthorize;
(3)在ASP.NET Web API,我們使用 Abp.WebApi.Authorization.AbpApiAuthorize。
這三個類繼承自不同的地方。
在MVC中,它繼承自MVC自己的Authorize類。
在Web API,它繼承自Web API 的Authorize類。因此,它最好是繼承到MVC和Web API中。
但是,在Application 層,它完全是由Abp自己實現沒有擴展子任何類。
3.使用IPermissionChecker
AbpAuthorize 適用於大部分的情況,但是某些情況下,我們還是需要自己在方法體裡進行權限驗證。我們可以注入和使用IPermissionChecker對象。如下邊的代碼所示:
public void CreateUser(CreateOrUpdateUserInput input) { if (!PermissionChecker.IsGranted("Administration.UserManagement.CreateUser")) { throw new AbpAuthorizationException("You are not authorized to create user!"); } //A user can not reach this point if he is not granted for "Administration.UserManagement.CreateUser" permission. }
當然,你可以寫入任何邏輯,由於IsGranted方法只是簡單返回true或false(它還有異步版本哦)。如你簡單的檢查一個權限並拋出一個異常如上邊代碼那樣,你可以用Authorize方法:
public void CreateUser(CreateOrUpdateUserInput input) { PermissionChecker.Authorize("Administration.UserManagement.CreateUser"); //A user can not reach this point if he is not granted for "Administration.UserManagement.CreateUser" permission. }
由於權限驗證通常實現與Application層,ApplicationService基礎類注入和定義了PermissionChecker屬性。因此,權限檢查器允許你在Application Service類使用,而不需要顯示注入。