一.问题
最近收到一位朋友的求助,说他项目上的权限授权出现了问题,现象是在基础服务授权角色:RC 权限:X.Default,在基础服务使用RC角色的用户登录能访问到权限X.Default资源,而在X服务访问不到。重启X服务后就可以访问。
项目框架:ABP Vnext 6.0版本
数据库:共享一个
微服务架构如下:
请求/api/abp/application-configuration接口
基础服务
"auth": { "Policies": { "X.Default": true } "grantedPolicies": { "X.Default": true } },X服务
"auth": { "Policies": { "X.Default": true } "grantedPolicies": { } },
二.分析原因
1.X服务权限资源已加载,没有获取到x.Default的授权
2.基础服务权限资源已加载并且获取到x.Default的授权
3.共享库AbpPermissionGrants表中存在记录:ProviderKey:R ProviderName:RX Name: x.Default。 说明该角色已经授权了X.Default
4.重启X服务后再次请求获取到X.Default的授权
由上可推测X服务获取不到X.Default授权的原因大概是因为缓存。
怎么验证猜测,把日志等级调为Debug,再次请求查看日志
2023-06-15 11:14:53.087 +08:00 [DBG] PermissionStore.GetCacheItemAsync: pn:RX,pk:R,n:X.Default......2023-06-15 11:14:53.088 +08:00 [DBG] Found in the cache: pn:RX,pk:R,n:X.Default......
问题确定。
三.问题本质
要了解问题本质我们先来简单梳理一遍权限授权验证流程
不管是走中间件还是拦截器,验证授权最终都是调用了AbpAuthrizaionService.AuthorzieAsync()方法,结合日志,我们来看看PermissionStore.IsGrantedAsync()方法
public virtual async Task<bool> IsGrantedAsync(string name, string providerName, string providerKey) { return (await GetCacheItemAsync(name, providerName, providerKey)).IsGranted; } protected virtual async Task<PermissionGrantCacheItem> GetCacheItemAsync( string name, // X.Default string providerName, // RX string providerKey) //R { var cacheKey = CalculateCacheKey(name, providerName, providerKey); //计算缓存key=pn:RX,pk:R,n:X.Default Logger.LogDebug($"PermissionStore.GetCacheItemAsync: {cacheKey}"); var cacheItem = await Cache.GetAsync(cacheKey); //获取缓存 if (cacheItem != null) { Logger.LogDebug($"Found in the cache: {cacheKey}"); return cacheItem; //存在则返回 } Logger.LogDebug($"Not found in the cache: {cacheKey}"); cacheItem = new PermissionGrantCacheItem(false); await SetCacheItemsAsync(providerName, providerKey, name, cacheItem); //不存在缓存则查数据库后将结果缓存 return cacheItem; } protected virtual async Task SetCacheItemsAsync( string providerName, string providerKey, string currentName, PermissionGrantCacheItem currentCacheItem) { var permissions = PermissionDefinitionManager.GetPermissions(); //获取该服务加载的权限资源 Logger.LogDebug($"Getting all granted permissions from the repository for this provider name,key: {providerName},{providerKey}"); var grantedPermissionsHashSet = new HashSet<string>( (await PermissionGrantRepository.GetListAsync(providerName, providerKey)).Select(p => p.Name) //从数据库查找已授权的权限资源 ); Logger.LogDebug($"Setting the cache items. Count: {permissions.Count}"); var cacheItems = new List<KeyValuePair<string, PermissionGrantCacheItem>>(); //权限授权结果缓存集合 foreach (var permission in permissions) { var isGranted = grantedPermissionsHashSet.Contains(permission.Name); //存在授权列表中则已授权,否则未授权 cacheItems.Add(new KeyValuePair<string, PermissionGrantCacheItem>( //把结果加进集合 CalculateCacheKey(permission.Name, providerName, providerKey), new PermissionGrantCacheItem(isGranted)) ); if (permission.Name == currentName) { currentCacheItem.IsGranted = isGranted; } } await Cache.SetManyAsync(cacheItems); //设置缓存 Logger.LogDebug($"Finished setting the cache items. Count: {permissions.Count}"); }第一次请求X服务:load了一遍权限资源,并把X.Default标记为false缓存了起来,后面再授权角色RX 资源X.Default,因为缓存的存在再次获取还是未授权。重启服务后正常
而基础服务之所以能实时更新是因为权限管理模型就在这里, PermissionGrantCacheItemInvalidator 订阅了PermissionGrant变更的本地事件会清空缓存。
四.解决方案
一.授权验证都走基础服务
1.引用Volo.Abp.AspNetCore.Mvc.Client nutget包
2.添加AbpAspNetCoreMvcClientModule模块
3.添加配置
"RemoteServices": { "AbpMvcClient": { "BaseUrl": "http://localhost:XXXX", //配基础服务或网关 } }RemotePermissionChecker会取代PermissionChecker,请求远程服务进行权限验证,并将结果缓存起来,有效时间是300s(硬编码,todo:未来可配)
configuration = await Cache.GetOrAddAsync( cacheKey, async () => await ApplicationConfigurationAppService.GetAsync(), () => new DistributedCacheEntryOptions { AbsoluteExpirationRelativeToNow = TimeSpan.FromSeconds(300) //TODO: Should be configurable. } );
更改后的授权验证流程
二 使用Redis缓存替换应用缓存
备注:key要一致
最后朋友采用了方案二解决了问题,理由是实时。如果你有更好的解决方案请在评论告知我感谢!!!!
