关于Abp Vnext 权限授权的问题
阅读原文时间:2023年08月14日阅读:3

一.问题

最近收到一位朋友的求助,说他项目上的权限授权出现了问题,现象是在基础服务授权角色:RC 权限:X.Default,在基础服务使用RC角色的用户登录能访问到权限X.Default资源,而在X服务访问不到。重启X服务后就可以访问。

项目框架:ABP Vnext 6.0版本

数据库:共享一个

微服务架构如下:

请求/api/abp/application-configuration接口

基础服务

"auth": {
    "Policies": {
      "X.Default": true
    }
    "grantedPolicies": {
     "X.Default": true
    }
  },

X服务

"auth": {
    "Policies": {
      "X.Default": true
    }
    "grantedPolicies": {
    }
  },

二.分析原因

1.X服务权限资源已加载,没有获取到x.Default的授权

2.基础服务权限资源已加载并且获取到x.Default的授权

3.共享库AbpPermissionGrants表中存在记录:ProviderKey:R  ProviderName:RX  Name: x.Default。 说明该角色已经授权了X.Default

4.重启X服务后再次请求获取到X.Default的授权

由上可推测X服务获取不到X.Default授权的原因大概是因为缓存。

怎么验证猜测,把日志等级调为Debug,再次请求查看日志

2023-06-15 11:14:53.087 +08:00 [DBG] PermissionStore.GetCacheItemAsync: pn:RX,pk:R,n:X.Default......
2023-06-15 11:14:53.088 +08:00 [DBG] Found in the cache: pn:RX,pk:R,n:X.Default......

猜对了。

三.问题本质

要了解问题本质我们先来简单梳理一遍权限授权验证流程

不管是走中间件还是拦截器,验证授权最终都是调用了AbpAuthrizaionService.AuthorzieAsync()方法,结合日志,我们来看看PermissionStore.IsGrantedAsync()方法

public virtual async Task<bool> IsGrantedAsync(string name, string providerName, string providerKey)
    {
        return (await GetCacheItemAsync(name, providerName, providerKey)).IsGranted;
    }

  protected virtual async Task<PermissionGrantCacheItem> GetCacheItemAsync(
        string name, // X.Default
        string providerName,  // RX
        string providerKey)   //R
    {
        var cacheKey = CalculateCacheKey(name, providerName, providerKey); //计算缓存key=pn:RX,pk:R,n:X.Default

        Logger.LogDebug($"PermissionStore.GetCacheItemAsync: {cacheKey}");

        var cacheItem = await Cache.GetAsync(cacheKey); //获取缓存

        if (cacheItem != null)
        {
            Logger.LogDebug($"Found in the cache: {cacheKey}");
            return cacheItem;   //存在则返回
        }

        Logger.LogDebug($"Not found in the cache: {cacheKey}");

        cacheItem = new PermissionGrantCacheItem(false);

        await SetCacheItemsAsync(providerName, providerKey, name, cacheItem); //不存在缓存则查数据库后将结果缓存

        return cacheItem;
    }

 protected virtual async Task SetCacheItemsAsync(
        string providerName,
        string providerKey,
        string currentName,
        PermissionGrantCacheItem currentCacheItem)
    {
        var permissions = PermissionDefinitionManager.GetPermissions(); //获取该服务加载的权限资源

        Logger.LogDebug($"Getting all granted permissions from the repository for this provider name,key: {providerName},{providerKey}");

        var grantedPermissionsHashSet = new HashSet<string>(
            (await PermissionGrantRepository.GetListAsync(providerName, providerKey)).Select(p => p.Name)  //从数据库查找已授权的权限资源
        );   

        Logger.LogDebug($"Setting the cache items. Count: {permissions.Count}");

        var cacheItems = new List<KeyValuePair<string, PermissionGrantCacheItem>>(); //权限授权结果缓存集合

        foreach (var permission in permissions)
        {
            var isGranted = grantedPermissionsHashSet.Contains(permission.Name); //存在授权列表中则已授权,否则未授权

            cacheItems.Add(new KeyValuePair<string, PermissionGrantCacheItem>(   //把结果加进集合
                CalculateCacheKey(permission.Name, providerName, providerKey),
                new PermissionGrantCacheItem(isGranted))
            );

            if (permission.Name == currentName)
            {
                currentCacheItem.IsGranted = isGranted;
            }
        }

        await Cache.SetManyAsync(cacheItems); //设置缓存

        Logger.LogDebug($"Finished setting the cache items. Count: {permissions.Count}");
    }

第一次请求X服务:load了一遍权限资源,并把X.Default标记为false缓存了起来,后面再授权角色RX 资源X.Default,因为缓存的存在再次获取还是未授权。重启服务后正常

而基础服务之所以能实时更新是因为权限管理模型就在这里, PermissionGrantCacheItemInvalidator 订阅了PermissionGrant变更的本地事件会清空缓存。

四.解决方案

一.授权验证都走基础服务

1.引用Volo.Abp.AspNetCore.Mvc.Client nutget包

2.添加AbpAspNetCoreMvcClientModule模块

3.添加配置

"RemoteServices": {
    "AbpMvcClient": {
      "BaseUrl": "http://localhost:XXXX", //配基础服务或网关
    }
  }

RemotePermissionChecker会取代PermissionChecker,请求远程服务进行权限验证,并将结果缓存起来,有效时间是300s(硬编码,todo:未来可配)

  configuration = await Cache.GetOrAddAsync(
            cacheKey,
            async () => await ApplicationConfigurationAppService.GetAsync(),
            () => new DistributedCacheEntryOptions
            {
                AbsoluteExpirationRelativeToNow = TimeSpan.FromSeconds(300) //TODO: Should be configurable.
            }
        );

更改后的授权验证流程

二 使用Redis缓存替换应用缓存

备注:key要一致

最后朋友采用了方案二解决了问题,理由是实时。如果你有更好的解决方案请在评论告知我感谢!!!!