完成了簡單的增刪改查和分頁功能，是不是覺得少了點什麼？
是的，少了許可權管理。既然涉及到了許可權，那我們就細化下任務清單的功能點：

• 登入的使用者才能檢視任務清單
• 使用者可以無限建立任務並分配給自己，但只能對自己建立的任務進行查詢、修改
• 管理員可以建立任務並分配給他人
• 管理員具有刪除任務的許可權

從以上的資訊中，我們可以提取出以下許可權：

1. 任務分配許可權
2. 任務刪除許可權

那我們下面就來實現針對這兩個許可權的管理：

一、ABP許可權管理的實現

1、先來看看許可權定義相關型別：

從該型別依賴圖中我們可以看出：

• Permission：許可權類，定義了許可權的屬性。
• PermissionDictionary
  ：繼承自Dictionary<string, Permission>類，儲存permission物件的字典。
• IPermisssionDefinitionContext：定義了CreatePermission和GetPermissionOrNull方法，分別用來建立和獲取許可權。
• AuthorizationProvider：抽象類，在Module中實現該介面來定義許可權。
• PermissionManager：許可權管理類，繼承自PermissionDefinitionContextBase主要提供了獲取許可權的系列方法。

2、再來看看許可權檢查相關型別

從該型別依賴圖中簡要梳理下核心類：

• IPermissionChecker：從介面命名就明白，這個是用來進行許可權檢查的。我們可以自己實現它，也可以使用module-zero中給出的實現。
• NullPermissionChecker：當未實現IPermissionChecker，系統會預設使用此類將許可權賦予給每個使用者。
• AbpAuthorizeAttribute：許可權檢查特性，在應用服務層標註需要的許可權。
• AbpAllowAnonymousAttribute：匿名訪問特性，忽略許可權檢查，用於應用服務層。在mvc和webapi中使用[AllowAnonymous]。
• AuthorizationInterceptor：授權攔截器，用來攔截定義了AbpAuthorizeAttribute
  特性的方法。

核心的幾個類就講到這裡，具體的實現，可以自行檢視原始碼一探究竟。

二、定義許可權

從上節中我們知道在不同的Module中通過繼承AuthorizationProvider來定義許可權。ABP模板專案中已經在領域層，也就是.Core結尾的專案中，定義了xxxxxxAuthorizationProvider類繼承自AuthorizationProvider。

1、許可權包含哪些屬性

• Name：系統中 唯一的名字。最好為許可權的名字定義一個const字串而不是變數字串。我們偏向使用“.”符號用於有層次的名字，但這不是強制的。你可以設定任何你喜歡的名字，唯一的一點是保證它必須是唯一的。
• DisplayName：用於以後在UI上顯示許可權的本地化字串。
• Description：用於以後在UI上顯示許可權定義的本地化字串。
• IsGrantedByDefault：表示該許可權是否授予給所有登入的使用者，除非該許可權顯式禁止未授予給使用者。該值一般預設為false。
• MultiTenancySides：對於多租戶應用，租戶或者租主可以使用同一個許可權。這是一個Flags列舉，因此一個許可權可以用於租戶和租主。
• featureDependency：可以用於宣告一個功能的依賴。因此，只有功能依賴滿足了，該許可權才會被授予。

2、定義任務分配和任務刪除許可權

ABP模板專案預設已經在.Core/Authorization/目錄下建立了AuthorizationProvider的派生類xxxxAuthorizationProvider.cs
其中程式碼為：

public override void SetPermissions(IPermissionDefinitionContext context)
{
    //Common permissions
    var pages = context.GetPermissionOrNull(PermissionNames.Pages);
    if (pages == null)
        pages = context.CreatePermission(PermissionNames.Pages, L("Pages"));

    var users = pages.CreateChildPermission(PermissionNames.Pages_Users, L("Users"));

    //Host permissions
    var tenants = pages.CreateChildPermission(PermissionNames.Pages_Tenants, L("Tenants"),
        multiTenancySides: MultiTenancySides.Host);
}

可以看出主要添加了三個許可權，Pages、Users、Tenants。
依葫蘆畫瓢，咱們建立一個TaskAuthorizationProvider繼承自AuthorizationProvider。
程式碼如下：

public class TaskAuthorizationProvider : AuthorizationProvider
{
    public override void SetPermissions(IPermissionDefinitionContext context)
    {
        //Common permissions
        var pages = context.GetPermissionOrNull(PermissionNames.Pages);
        if (pages == null)
            pages = context.CreatePermission(PermissionNames.Pages, L("Pages"));

        //Tasks
        var tasks = pages.CreateChildPermission(PermissionNames.Pages_Tasks, L("Tasks"));
        tasks.CreateChildPermission(PermissionNames.Pages_Tasks_AssignPerson, L("AssignTaskToPerson"));
        tasks.CreateChildPermission(PermissionNames.Pages_Tasks_Delete, L("DeleteTask"));
    }

    private static ILocalizableString L(string name)
    {
        return new LocalizableString(name, LearningMpaAbpConsts.LocalizationSourceName);
    }
}

並在常量PermissionNames類中維護唯一使用者名稱。

public const string Pages_Tasks = "Pages.Pages.Tasks";

public const string Pages_Tasks_AssignPerson = "Pages.Pages.Tasks.AssignPerson";

public const string Pages_Tasks_Delete = "Pages.Pages.Tasks.Delete";

需要本地化顯示的，則需要分別維護本地化xml檔案，這裡忽略此步。

定位到.Core/xxxCoreModule.cs檔案中發現Abp已經為預設實現的的xxxxAuthorizationProvider.cs註冊了。
Configuration.Authorization.Providers.Add<LearningMpaAbpAuthorizationProvider>();
因為ABP是模組化的，當你需要為自己自定義的模組定義許可權時，
不要忘記在自己定義的Module中註冊自己實現的AuthorizationProvider（授權提供器）。
所以，還是依葫蘆畫瓢，註冊TaskAuthorizationProvider
Configuration.Authorization.Providers.Add<TaskAuthorizationProvider>();

三、許可權檢查

在應用服務層中直接使用[AbpAuthorize]特性，但在MVC控制器中使用[AbpMvcAuthorize]特性，Web API控制器中使用[AbpApiAuthorize]。

我們在應用服務層給刪除操作定義許可權檢查：

[AbpAuthorize(PermissionNames.Pages_Tasks_Delete)]
public void DeleteTask(int taskId)
{
    var task = _taskRepository.Get(taskId);
    if (task != null)
        _taskRepository.Delete(task);
}

F5執行，去刪除某一任務，將獲得以下提示：

2、使用IPermissionChecker

刪除任務是一個獨立的操作，所以我們可以直接使用上面特性宣告的方式來進行許可權檢查。
但是針對【任務分配】這個操作，它其實是任務建立、編輯中的一個子操作。所以我們不能直接使用特性宣告的方式來進行許可權檢查。這一次我們使用IPermissionChecker來進行檢查。

2.1、應用服務層注入了PermissionChecker屬性
因為授權一般在應用服務層中進行，所以ABP預設在ApplicationService基類注入並定義了PermissionChecker屬性。這樣，在應用服務層就可以直接使用PermissionChecker屬性進行許可權檢查。
2.2、修改建立任務方法，加入許可權檢查：

public int CreateTask(CreateTaskInput input)
{
    //We can use Logger, it's defined in ApplicationService class.
    Logger.Info("Creating a task for input: " + input);

    //獲取當前使用者
    var currentUser = AsyncHelper.RunSync(this.GetCurrentUserAsync);

    //判斷使用者是否有許可權
    if (input.AssignedPersonId.HasValue && input.AssignedPersonId.Value != currentUser.Id)
        PermissionChecker.Authorize(PermissionNames.Pages_Tasks_AssignPerson);

    var task = Mapper.Map<Task>(input);

    int result = _taskRepository.InsertAndGetId(task);

    //只有建立成功才傳送郵件和通知
    if (result > 0)
    {
        task.CreationTime = Clock.Now;

        if (input.AssignedPersonId.HasValue)
        {
            task.AssignedPerson = _userRepository.Load(input.AssignedPersonId.Value);
            var message = "You hava been assigned one task into your todo list.";

            //TODO:需要重新配置QQ郵箱密碼
            //SmtpEmailSender emailSender = new SmtpEmailSender(_smtpEmialSenderConfig);
            //emailSender.Send("[email protected]", task.AssignedPerson.EmailAddress, "New Todo item", message);

            _notificationPublisher.Publish("NewTask", new MessageNotificationData(message), null,
                NotificationSeverity.Info, new[] { task.AssignedPerson.ToUserIdentifier() });
        }
    }

其中許可權檢查程式碼為：PermissionChecker.Authorize(PermissionNames.Pages_Tasks_AssignPerson);這種方式當沒有許可權時，將直接丟擲異常。當啟用<customErrors mode="On" />時，將跳轉至Error檢視並顯示以下資訊。

2.3、修改編輯任務方法，加入許可權檢查：

public void UpdateTask(UpdateTaskInput input)
{
    //We can use Logger, it's defined in ApplicationService base class.
    Logger.Info("Updating a task for input: " + input);

    //獲取當前使用者
    var currentUser = AsyncHelper.RunSync(this.GetCurrentUserAsync);
    //獲取是否有許可權
    bool canAssignTaskToOther = PermissionChecker.IsGranted(PermissionNames.Pages_Tasks_AssignPerson);
    //如果任務已經分配且未分配給自己，且不具有分配任務許可權，則丟擲異常
    if (input.AssignedPersonId.HasValue && input.AssignedPersonId.Value != currentUser.Id && !canAssignTaskToOther)
    {
        throw new AbpAuthorizationException("沒有分配任務給他人的許可權！");
    }

    var updateTask = Mapper.Map<Task>(input);
    _taskRepository.Update(updateTask);
}

其中許可權檢查程式碼為PermissionChecker.IsGranted(PermissionNames.Pages_Tasks_AssignPerson);，IsGranted()方法返回true or false。

2.4、Razor頁面如何進行許可權檢查
檢視基類定義了IsGranted方法來檢查當前使用者是否具有許可權。我們可以在_List.cshtml.cs中加入以下程式碼來控制是否顯示刪除按鈕。

@if (IsGranted(PermissionNames.Pages_Tasks_Delete))
{
    <button type="button" class="btn btn-success" onclick="deleteTask(@task.Id);">Delete</button>
}

2.5、js程式碼如何進行許可權檢查
abp.auth名稱空間下定義了許可權相關的API，在js中我們可以直接使用。
這裡不再舉例。

四、將新增的許可權賦予給Admin

完成了許可權的定義和檢查，我們如何進行許可權設定呢，如何為角色或使用者賦予許可權呢？
在ABP模板專案中暫未提供使用者角色許可權管理功能，但在AbpZero中提供了該功能，支援按使用者或角色賦予許可權。那咋辦呢？
咱們退而求其次，在資料庫初始化的時候，將許可權賦給Admin。
但是我們的資料庫已經建立好了啊？
反正是測試庫，刪掉重建唄。

1、刪除資料庫

怎麼刪資料庫，自己應該知道吧。

2、程式碼中為Admin賦予許可權

開啟基礎設施層，即以EntityFramework結尾的專案中，定位到Migrations\SeedData資料夾，分別在
HostRoleAndUserCreator和TenantRoleAndUserBuilder兩個類中新增以下程式碼：

var taskPermissions = PermissionFinder.GetAllPermissions(new PersonAppAuthorizationProvider()).ToList();
permissions.AddRange(taskPermissions);

3、重新編譯整個專案，執行Update-Database

檢視資料庫，發現已經將Permission賦予給了admin

總結：

本節主要講解了ABP許可權管理的基本實現方式，以及如何定義、使用和新增許可權。

在ABP模板專案中暫未提供使用者角色許可權管理功能，但在AbpZero中提供了該功能，支援按使用者或角色賦予許可權。這一節先暫時不表，等我研究通徹了再和大家娓娓道來。

遺留問題：

1. 在模態框上如何彈出異常資訊?