1. 背景

ASP.NET Core 基于聲明的訪問控制到底是什么鬼？

聊到基于聲明的身份認(rèn)證將 身份和簽發(fā)機(jī)構(gòu)分離，應(yīng)用程序信任簽發(fā)機(jī)構(gòu)，故認(rèn)可簽發(fā)的身份信息。

-----------

Claim	B站:438962688 Name:飯思思_	weibo:538210234 Name:飯思思van	姓名:不詳 籍貫:九江
ClaimsIdentity	嗶哩嗶哩賬戶	微博賬戶	身份證
ClaimsPrincipal

于是我們通常會有如下：

?var?claims?=?new[]?{new?Claim(nameof(ClaimTypes.NameIdentifier),_authData.Data["userId"].ToString(),ClaimValueTypes.String),new?Claim(nameof(ClaimTypes.Name),_authData.Data["userName"].ToString(),ClaimValueTypes.String),new?Claim("profileId",_authData.Data["profileId"].ToString()),new?Claim("positionId",_authData.Data["positionId"].ToString()),new?Claim("organizationId",_authData.Data["organizationId"].ToString()),new?Claim("maxAge",_authData.Data["maxAge"].ToString()),};//?設(shè)置身份卡片內(nèi)容?、身份卡片核心Name，?這個時候HttpContext.Uservar?identity?=?new?ClaimsIdentity(claims,?Scheme.Name,nameof(ClaimTypes.Name),nameof(ClaimTypes.Role));Context.User?=?new?ClaimsPrincipal(identity);

我們現(xiàn)在可以在Action中使用 HttpContext.User.Identity 獲取聲明的身份信息。

當(dāng)我滿心歡喜在Abp vnext中封裝的ICurrentUser接口獲取身份信息，卻無法獲取身份信息。

ICurrentUser 封裝了身份信息,用于獲取有關(guān)當(dāng)前活動的用戶信息，已經(jīng)被Abp框架默認(rèn)注入。
你會在ApplicationSerive、 AbpController看到屬性CurrentUser， 在Abp服務(wù)和控制器中是可以即時使用的。

------

2. Abp用戶、租戶管理

AbpICurrentUser獲取不到常規(guī)HttpContext.User信息，是因為使用了特定的封裝，封裝的方式我不能茍同：

以下是?ICurrentUser?接口的基本屬性:IsAuthenticated?如果當(dāng)前用戶已登錄(已認(rèn)證),則返回?true.?如果用戶尚未登錄,則?Id?和?UserName?將返回?null. Id?(Guid?):?當(dāng)前用戶的Id,如果用戶未登錄,返回?null. UserName?(string):?當(dāng)前用戶的用戶名稱.?如果用戶未登錄,返回?null. TenantId?(Guid?):?當(dāng)前用戶的租戶Id.?對于多租戶?應(yīng)用程序很有用.?如果當(dāng)前用戶未分配給租戶,返回?null. Email?(string):?當(dāng)前用戶的電子郵件地址.?如果當(dāng)前用戶尚未登錄或未設(shè)置電子郵件地址,返回?null. Roles?(string[]):?當(dāng)前用戶的角色.?返回當(dāng)前用戶角色名稱的字符串?dāng)?shù)組. .....

這里面有幾個問題：

①? ? ICurrentUser將用戶id、租戶TenantId硬編碼為GUID
項目原始的身份id、租戶id若不為GUID，則根本不可用。
最差的情況也應(yīng)該用個泛型，由應(yīng)用決定特定身份片段的類型。

②? ? ? ICurrentUser 修改了IsAuthenticated的取值邏輯

• ASP.NET Core官方認(rèn)證類型不為空，就認(rèn)為用戶認(rèn)證通過。

???//?---?來自asp.netcore源碼：https://github.com/dotnet/runtime/blob/master/src/libraries/System.Security.Claims/src/System/Security/Claims/ClaimsIdentity.cspublic?virtual?bool?IsAuthenticated{get?{?return?!string.IsNullOrEmpty(_authenticationType);?}}.....

• Abp官方則認(rèn)為UserId不為空，就認(rèn)為用戶認(rèn)證通過。

???//?---截取自abp官方源碼：Volo.Abp.Users.CurrentUserpublic?class?CurrentUser?:?ICurrentUser,?ITransientDependency{private?static?readonly?Claim[]?EmptyClaimsArray?=?new?Claim[0];public?virtual?bool?IsAuthenticated?=>?Id.HasValue;.....}

?③? ICurrentUser修改了UserName的取值邏輯

• Asp.NetCore檢索聲明信息中ClaimType==某個NameClaimType的Claim值, 作為身份認(rèn)證卡片Identity的Name， 更靈活

• Abp 檢索聲明信息中ClaimType=="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"的值，作為身份驗證卡片的Name， 硬編碼

Abp 將UserId、TenantId 硬編碼為GUID，已經(jīng)不夠通用；??

另外Abp強(qiáng)行變更了ASP.NET Core基于聲明的身份驗證的取值邏輯，若要我們接受，需要一點學(xué)習(xí)成本。

本次我的項目就是因為UserID、TenantId為String, ?在Abp CurrentUser中轉(zhuǎn)換失敗；Name也取值失敗。??

在項目中就無法愉快地使用Abp ApplicationService、AbpController的CurrentUser屬性。

3. 針對Abp用戶、租戶管理的應(yīng)對方法

我的策略：還是向盡量使用Abp框架，盡量做到【對修改封閉，對擴(kuò)展開放】，

于是我仿照Abp的CurrentUser實現(xiàn)了適合自身項目的CurrentUser:

public?class?CurrentUser:?ITransientDependency {private?static?readonly?Claim[]?EmptyClaimsArray?=?new?Claim[0];public?virtual?string??Id?=>?_principalAccessor.Principal?.Claims?.FirstOrDefault(c?=>?c.Type?==?nameof(ClaimTypes.NameIdentifier))?.Value;public?virtual?string?UserName?=>?_principalAccessor.Principal?.Claims?.FirstOrDefault(c?=>?c.Type?==?nameof(ClaimTypes.Name))?.Value;public?virtual?string?Email?=>?_principalAccessor.Principal?.Claims?.FirstOrDefault(c?=>?c.Type?==?nameof(ClaimTypes.Email))?.Value;public?virtual?string?TenantId?=>?_principalAccessor.Principal?.Claims?.FirstOrDefault(c?=>?c.Type?==?"profileId")?.Value;public?virtual?string[]?Roles?=>?FindClaims("roleId").Select(c?=>?c.Value).ToArray();private?readonly?ICurrentPrincipalAccessor?_principalAccessor;public?CurrentUser(ICurrentPrincipalAccessor?principalAccessor){_principalAccessor?=?principalAccessor;}public?virtual?Claim?FindClaim(string?claimType){return?_principalAccessor.Principal?.Claims.FirstOrDefault(c?=>?c.Type?==?claimType);} }

編寫繼承自ApplicationService、AbpController的通用服務(wù)類、控制器類：

new關(guān)鍵字顯式隱藏從基類繼承的成員

這樣我們既可以使用 Abp框架其他能力，利用new關(guān)鍵詞我們也刻意覆蓋了框架原有的ICurrentUser屬性，

其他同事也不需要額外的認(rèn)知成本就可以開心地像往常一樣使用CurrentUser屬性。

• 學(xué)完這篇依賴注入，與面試官扯皮就沒有問題了。
  

• 我又踩坑了！如何為HttpClient請求設(shè)置Content-Type標(biāo)頭？
  

• 臨近年關(guān)，修復(fù)ASP.NET Core因瀏覽器內(nèi)核版本引發(fā)的單點登錄故障
  

• 手撕公司SSO登錄原理
  

• 實戰(zhàn)解讀ASP.NET Core身份認(rèn)證
  

• ASP.NET Core應(yīng)用注意這一點，CTO會對你刮目相看

- END -

總結(jié)

以上是生活随笔為你收集整理的吐槽一下Abp的用户和租户管理模块的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。