ABP源码分析十九:Auditing

审计跟踪(也叫审计日志)是与安全相关的按照时间顺序的记录,它们提供了活动序列的文档证据,这些活动序列可以在任何时间影响一个特定的操作。

AuditInfo:定义如下图中需要被Audit的信息。

AuditedAttribute: 用于标识一个方法或一个类的所有方法都需要启用Auditing功能。

DisableAuditingAttribute:用于标识一个方法或一个类的所有方法都需要关闭Auditing功能。

IMvcControllersAuditingConfiguration/MvcControllersAuditingConfiguration : 用于配置是否启用对MVC Controller及其Action的Auditing功能。

IAuditingConfiguration/AuditingConfiguration: 可以配置如下图中的四个属性,除了Selectors外其他三个属性都很容易理解。

NamedTypeSelector:类型选择器,这个对象的核心属性是一个以type为输入参数,返回bool类型的委托predicate.

IAuditingSelectorList/AuditingSelectorList : 这是一个NamedTypeSelector对象的集合

如下是AbpKernelModule在PreInitialize方法中给IAuditingConfiguration对象配置了一个类型选择器(用于筛选出IApplicationService对象),稍后所有IApplicationService对象都会被注入Auditing 拦截器。

IAuditInfoProvider:这个接口定义一个方法用于完善AuditInfo对象。为什么要定义一个这样的接口和方法呢?ABP核心模块处于最底层,有些上层的信息在这一层无法直接取得(比如浏览器信息)。ABP的做法是在上层实现IAuditInfoProvider,然后将其register到底层的容器中。处于底层ABP的核心模块则从resolve出这个对象,然后调用该对象的fill方法来完善AuditInfo。

NullAuditInfoProvider : 空的IAuditInfoProvider实现,这个是ABP中的缺省的IAuditInfoProvider的实现。

WebAuditInfoProvider :这个IAuditInfoProvider对象就是上面所说的上层的IAuditInfoProvider实现。这个类就是在Abp.Web模块中实现的。(注意:整个项目中除了NullAuditInfoProvider 只能有一个自定义的IAuditInfoProvider实现。也就是说实际项目中无法直接创建自定义的IAuditInfoProvider,因为Abp.Web模块中已经有一个了。)

ABP是如何实现在方法执行时自动完成Auditing的呢(俗话叫AOP)?通过注入到IApplicationService对象的componentmodel上的AuditingInterceptor拦截器实现的。AuditingInterceptor拦截器是由AuditingInterceptorRegistrar对象的Initialize方法注入的。而AuditingInterceptorRegistrar的Initialize会在AbpKernelModule的Initialize的时候被调用。(见下面代码截图)

满足以下四个条件的方法都会被AuditingInterceptor拦截:

1.IApplicationService的实例中的方法

2.添加了AuditedAttribute的类的实例的方法

3.加了AuditedAttribute的方法

4.通过IAuditingConfiguration对象的Selectors属性添加需要被auditing的类型。

那些方法会执行的时候会被真正加入Auditing功能呢?具体可参见AuditingHelper的代码。大概总结如下条件(同时满足):

1.必须满足AuditingConfiguration中的IsEnabled为true

2.如果session为空,则configuration.IsEnabledForAnonymousUsers也必须为true

3.Public 方法

AuditingInterceptor生成AuditInfo实例,然后调用IAuditingStore类实例执行AuditInfo持久化。

IAuditingStore:这个接口定义持久化AuditInfo的方法

SimpleLogAuditingStore:ABP底层框架自带的IAuditingStore实现是SimpleLogAuditingStore,可以把下图中5个信息持久化到日志中。module-zero项目中有个更为完整的实现。

实现Auditing功能的相关接口和对象的关系图

时间: 2024-12-11 07:37:03

ABP源码分析十九:Auditing的相关文章

[Abp 源码分析]十二、多租户体系与权限验证

0.简介 承接上篇文章我们会在这篇文章详细解说一下 Abp 是如何结合 IPermissionChecker 与 IFeatureChecker 来实现一个完整的多租户系统的权限校验的. 1.多租户的概念 多租户系统又被称之为 Saas ,比如阿里云就是一个典型的多租户系统,用户本身就是一个租户,可以在上面购买自己的 ECS 实例,并且自己的数据与其他使用者(租户)所隔绝,两者的数据都是不可见的. 那么 Abp 是如何实现数据隔离的呢? 1.1 单部署-单数据库 如果你的软件系统仅部署一个实例,

jQuery 源码分析(十九) DOM遍历模块详解

jQuery的DOM遍历模块对DOM模型的原生属性parentNode.childNodes.firstChild.lastChild.previousSibling.nextSibling进行了封装和扩展,用于在DOM树中遍历父元素.子元素和兄弟元素. 可以通过jQuery的实例来访问,方法如下: parent()             ;获取匹配元素的父元素 parents(selector)         ;获取匹配元素的所有祖先元素                        ;s

ABP源码分析三十:ABP.RedisCache

ABP 通过StackExchange.Redis类库来操作Redis数据库. AbpRedisCacheModule:完成ABP.RedisCache模块的初始化(完成常规的依赖注入) AbpRedisCacheConfig:定义了connectionStringKey和databaseIdAppSetting的值.这两个值对象redis 在web.config中的key值. ABP.RedisCache模块通过读取web.config来获取redis的配置. IAbpRedisConnect

ABP源码分析二十八:ABP.MemoryDB

这个模块简单,且无实际作用.一般实际项目中都有用数据库做持久化,用了数据库就无法用这个MemoryDB 模块了.原因在于ABP限制了UnitOfWork的类型只能有一个(前文以作介绍),一般用了数据库的必然要注入efUnitOfWork. 而注入了efUnitOfWork就不能在注入MemoryDbUnitOfWork了. MemoryDatabase:这是一个单例.ABP通过Dictionary<Type, object>+lock作为数据结构来实现内存数据库.其以entity的类型作为ke

ABP源码分析四十六:ABP ZERO中的Ldap模块

通过AD作为用户认证的数据源.整个管理用户认证逻辑就在LdapAuthenticationSource类中实现. LdapSettingProvider:定义LDAP的setting和提供DefautValue.主要提供配置访问AD数据库的账号信息. LdapSettings/ILdapSettings:通过settingManager获取LDAP settings AbpZeroLdapModuleConfig/IAbpZeroLdapModuleConfig: 提供激活Ldap认证的配置.

ABP源码分析三十六:ABP.Web.Api

这里的内容和ABP 动态webapi没有关系.除了动态webapi,ABP必然是支持使用传统的webApi.ABP.Web.Api模块中实现了一些同意的基础功能,以方便我们创建和使用asp.net webApi. AbpApiController:这是一个抽象基类,继承自ApiController,是AB WebApi系统中所有controller的基类.如下图中,其封装了ABP核心模块中提供的大多数的功能对象.同时实现了一些公共的方法.它有四个派生类:DynamicApiController<

ABP源码分析三十二:ABP.SignalR

Realtime Realtime是ABP底层模块提供的功能,用于管理在线用户.它是使用SignalR实现给在线用户发送通知的功能的前提 IOnlineClient/OnlineClient: 封装在线用户的信息 OnlineClientManager/IOnlineClientManager: 用于提供基本维护在线用户的方法.其内部维护了一个字典来保存在线的客户信息. SingalR SignalRRealTimeNotifier: 实现了给在线用户发送通知的功能.其从IOnlineClien

ABP源码分析四十五:ABP ZERO中的EntityFramework模块

AbpZeroDbContext:配置ABP.Zero中定义的entity的Dbset EntityFrameworkModelBuilderExtensions:给PrimitivePropertyConfiguration添加了扩展方法用于创建Index. AbpZeroDbModelBuilderExtensions:给DbModelBuilder添加了扩展方法用于表的重命名. AbpZeroEntityFrameworkModule:很明显Abp Zero模块中的EntityFramew

ABP源码分析三十五:ABP中动态WebAPI原理解析

动态WebAPI应该算是ABP中最Magic的功能之一了吧.开发人员无须定义继承自ApiController的类,只须重用Application Service中的类就可以对外提供WebAPI的功能,这应该算是对DRY的最佳诠释了. 如下图所示,一行代码就为所有实现了IApplicationService的类型,自动创建对应的动态WebAPI. 这么Magic的功能是如何实现的呢? 本文为你揭开其Magic的外表.你会发现,实现如此Magic的功能,最关键的代码只有四行. 先思考一个问题:如果不