XAF之Security System （转）

linuxsc

安全系统策略
        XAF的安全系统是用静态类SecuritySystem定义的。终端用户使用XAF程序时，安全系统会检查当前用户是否有足够的权限执行某项操作。
XAF提供了两个内置安全策略：
Simple Security Strategy
       该策略有两个用户类型：用户(user)和管理员(administrator)。user可以访问除User对象外的所有对象。然而，它可以修改自身的密码和其他安全无关的详情。此外，user可以在只读模式下访问User列表。Administrator可以访问全部的对象，此外还可以编辑Application Model。
Complex Security Strategy
      该策略提供了多种用户组，这些组被叫做Role。每个组拥有不同的权限，用户user可以拥有多个Role，即用户的权限可以叠加。user和role的关系是多对多的关系。
XAF的两种认证方式：
Standard  Authentication
标准认证。弹出登录窗口，输入用户名和密码登录。
Active Directory Authentication
活动文件夹认证。程序使用WindowsActiveDirectory服务获取用户信息，然后使用该信息验证用户。若在当前系统找到用户和数据库的对象符合，则通过验证。XAF默认使用这种方式验证。

Complex Security Strategy
1.基本概念
五种操作权限：
SecurityOperations.Create
SecurityOperations.Delete

SecurityOperations.Navigation

SecurityOperations.Read

SecurityOperations.Write
这里要说一下的是SecurityOperations.Navigation权限，当针对的是Type时，表示在导航栏和列表可导航，当针对的是object时，在导航栏不可见，但在列表中可导航。
精细的权限控制，三种权限控制级别：
object-level： 针对具体的对象，一般需要设置对象筛选；
type-level：   针对某种类型，其子类当然也属于该权限范围；
member-level：针对某类型的属性（成员）；
三种权限可以组合，构成复杂的权限。
2.实现步骤
2.1  加入安全Model
将Security Strategy Complex和Authentication Standard拖到 WinApplication.cs中。


以下代码需要加入到MySolution.Module | DatabaseUpdate | Updater.cs的UpdateDatabaseAfterUpdateSchema方法中。另外，其中用到的两个自定义函数如下，他们也位于该文件中：

1.         private void GrantAllAccess(Type type, ref SecurityRole role)
   
2.         {
   
3.             role.Permissions.GrantRecursive(type, SecurityOperations.Create);
   
4.             role.Permissions.GrantRecursive(type, SecurityOperations.Delete);
   
5.             role.Permissions.GrantRecursive(type, SecurityOperations.Navigate);
   
6.             role.Permissions.GrantRecursive(type, SecurityOperations.Read);
   
7.             role.Permissions.GrantRecursive(type, SecurityOperations.Write);
   
8.         }
   
9.         private void DenyAllAccess(Type type, ref SecurityRole role)
   
10.         {
    
11.             role.Permissions.DenyRecursive(type, SecurityOperations.Create);
    
12.             role.Permissions.DenyRecursive(type, SecurityOperations.Delete);
    
13.             role.Permissions.DenyRecursive(type, SecurityOperations.Navigate);
    
14.             role.Permissions.DenyRecursive(type, SecurityOperations.Read);
    
15.             role.Permissions.DenyRecursive(type, SecurityOperations.Write);
    
16.         }

复制代码

2.2 创建各Role和User

1.             #region 创建Administrator Role
   
2.             // If a role with the Administrators name does not exist in the database, create this role
   
3.             SecurityRole adminRole = ObjectSpace.FindObject<SecurityRole>(new BinaryOperator("Name", "Administrators"));
   
4.             if (adminRole == null)
   
5.             {
   
6.                 adminRole = ObjectSpace.CreateObject<SecurityRole>();
   
7.                 adminRole.Name = "Administrators";
   
8.             }
   
9.             adminRole.BeginUpdate();
   
10.             //Give a permission to edit the Application Model
    
11.             adminRole.CanEditModel = true;
    
12.             //Provide full access to all objects
    
13.             GrantAllAccess(typeof(object), ref adminRole);
    
14.             adminRole.EndUpdate();
    
15.             //Save the Administrators role to the database
    
16.             adminRole.Save();
    
17.             #endregion
    
18.             #region 创建User Role,从Administrator中减少权限
    
19.             // If a role with the "Users" name doesn't exist in the database, create this role
    
20.             SecurityRole userRole = ObjectSpace.FindObject<SecurityRole>(new BinaryOperator("Name", "Users"));
    
21.             if (userRole == null)
    
22.             {
    
23.                 userRole = ObjectSpace.CreateObject<SecurityRole>();
    
24.                 userRole.Name = "Users";
    
25.             }
    
26.             userRole.BeginUpdate();
    
27.             GrantAllAccess(typeof(object), ref userRole);
    
28.             DenyAllAccess(typeof(SecurityUser), ref userRole);
    
29.             DenyAllAccess(typeof(SecurityRole), ref userRole);
    
30.             DenyAllAccess(typeof(PermissionDescriptorBase), ref userRole);
    
31.             DenyAllAccess(typeof(PermissionData), ref userRole);
    
32.             DenyAllAccess(typeof(TypePermissionDetails), ref userRole);
    
33.             userRole.EndUpdate();
    
34.             // Save the "Users" role to the database
    
35.             userRole.Save();
    
36. 
    
37.             #endregion
    
38. 
    
39.             SecurityRole defaultRole = ObjectSpace.FindObject<SecurityRole>(new BinaryOperator("Name", "Default"));
    
40.             if (defaultRole == null)
    
41.             {
    
42.                 defaultRole = ObjectSpace.CreateObject<SecurityRole>();
    
43.                 defaultRole.Name = "Default";
    
44.                //object-level控制，针对Oid为当前用户id的SecurityUser对象               
    
45.               //Allow reading and navigating to the SecurityUser object representing the current user
    
46.                 ObjectOperationPermissionData myDetailsPermission = ObjectSpace.CreateObject<ObjectOperationPermissionData>();
    
47.                 myDetailsPermission.TargetType = typeof(SecurityUser);
    
48.                 myDetailsPermission.Criteria = "[Oid] = CurrentUserId()";
    
49.                 myDetailsPermission.AllowNavigate = true;
    
50.                 myDetailsPermission.AllowRead = true;
    
51.                 myDetailsPermission.Save();
    
52.                 defaultRole.PersistentPermissions.Add(myDetailsPermission);
    
53.                //Member-level控制，针对SecurityUser的ChangePasswordOnFirstLogon和StoredPassword属性               
    
54.                //Allow an access to change the ChangePasswordOnFirstLogon and StoredPassword properties of the
    
55.                 MemberOperationPermissionData userMembersPermission = ObjectSpace.CreateObject<MemberOperationPermissionData>();
    
56.                 userMembersPermission.TargetType = typeof(SecurityUser);
    
57.                 userMembersPermission.Members = "ChangePasswordOnFirstLogon, StoredPassword";
    
58.                 userMembersPermission.AllowWrite = true;
    
59.                 userMembersPermission.Save();
    
60.                 defaultRole.PersistentPermissions.Add(userMembersPermission);
    
61.                 //Allow reading and navigating to the SecurityRole object representing the current Role
    
62.                 ObjectOperationPermissionData defaultRolePermission = ObjectSpace.CreateObject<ObjectOperationPermissionData>();
    
63.                 defaultRolePermission.TargetType = typeof(SecurityRole);
    
64.                 defaultRolePermission.Criteria = "[Name] = 'Default'";
    
65.                 defaultRolePermission.AllowNavigate = true;
    
66.                 defaultRolePermission.AllowRead = true;
    
67.                 defaultRolePermission.Save();
    
68.                 defaultRole.PersistentPermissions.Add(defaultRolePermission);
    
69.                //Type-level控制，针对AuditDataItemPersistent类型               
    
70.                //Allow access to the objects of the AuditDataItemPersistent type
    
71.                 TypeOperationPermissionData auditDataItemPermission = ObjectSpace.CreateObject<TypeOperationPermissionData>();
    
72.                 auditDataItemPermission.TargetType = typeof(AuditDataItemPersistent);
    
73.                 auditDataItemPermission.AllowRead = true;
    
74.                 auditDataItemPermission.AllowWrite = true;
    
75.                 auditDataItemPermission.AllowCreate = true;
    
76.                 auditDataItemPermission.Save();
    
77.                 defaultRole.PersistentPermissions.Add(auditDataItemPermission);
    
78.                
    
79.                 defaultRole.Save();
    
80.             }
    
81. 
    
82. 
    
83.             SecurityUser user1 = ObjectSpace.FindObject<SecurityUser>(new BinaryOperator("UserName", "Sam"));
    
84.             if (user1 == null)
    
85.             {
    
86.                 user1 = ObjectSpace.CreateObject<SecurityUser>();
    
87.                 user1.UserName = "Sam";
    
88.                 // Set a password if the standard authentication type is used
    
89.                 user1.SetPassword("");
    
90.             }
    
91.             // If a user named 'John' doesn't exist in the database, create this user
    
92.             SecurityUser user2 = ObjectSpace.FindObject<SecurityUser>(new BinaryOperator("UserName", "John"));
    
93.             if (user2 == null)
    
94.             {
    
95.                 user2 = ObjectSpace.CreateObject<SecurityUser>();
    
96.                 user2.UserName = "John";
    
97.                 // Set a password if the standard authentication type is used
    
98.                 user2.SetPassword("");
    
99.             }
    
100. 
     
101. 
     
102.             // Add the "Administrators" Role to the user1
     
103.             user1.Roles.Add(adminRole);
     
104.             // Add the "Users" Role to the user2
     
105.             user2.Roles.Add(userRole);
     
106.             user2.Roles.Add(defaultRole);
     
107.             // Save the users to the database
     
108.             user1.Save();
     
109.             user2.Save();
     
110.             ObjectSpace.CommitChanges();
     
111. 
     
112. 
     
113.             SecurityRole anonymousRole = ObjectSpace.FindObject<SecurityRole>(new BinaryOperator("Name", SecurityStrategy.AdministratorRoleName));
     
114.             if (anonymousRole == null)
     
115.             {
     
116.                 anonymousRole = ObjectSpace.CreateObject<SecurityRole>();
     
117.                 anonymousRole.Name = SecurityStrategy.AnonymousUserName;
     
118.                 anonymousRole.BeginUpdate();
     
119.                 anonymousRole.Permissions[typeof(SecurityUser)].Grant(SecurityOperations.Read);
     
120.                 anonymousRole.EndUpdate();
     
121.                 anonymousRole.Save();
     
122.             }
     
123.             SecurityUser anonymousUser = ObjectSpace.FindObject<SecurityUser>(new BinaryOperator("UserName", SecurityStrategy.AnonymousUserName));
     
124.             if (anonymousUser == null)
     
125.             {
     
126.                 anonymousUser = ObjectSpace.CreateObject<SecurityUser>();
     
127.                 anonymousUser.UserName = SecurityStrategy.AnonymousUserName;
     
128.                 anonymousUser.IsActive = true;
     
129.                 anonymousUser.SetPassword("");
     
130.                 anonymousUser.Roles.Add(anonymousRole);
     
131.                 anonymousUser.Save();
     
132.             }

复制代码

另外，也可在运行时创建权限控制策略：

1. <pre class="csharp" name="code"><pre></pre>
   
2. <pre></pre>
   
3. <pre></pre>
   
4. <pre></pre>
   
5. <pre></pre>
   
6. <pre></pre>
   
7. <pre></pre>
   
8. <pre></pre>
   
9. <pre></pre>
   
10. 
    
11. </pre>

复制代码