ABP文档还没有完善，就按着DEMO找找规律和使用方法。

1.ABP内置的权限系统和我工作中处理的非常接近（无数据权限，暂时只看到菜单动作权限。数据库中有看到组织，组织和角色相关的表，后面找找看有没有数据权限的功能）

2.逻辑也很清晰，首先需要定义权限。定义后的权限可以再ABP内置的管理后台去对每个角色做配置。不仅可以针对角色设置权限，也可以针对个别账号设置权限，最后取并集为最终的权限。（平时想做懒得做的ABP都做了）

3.定义的逻辑，2层的树形结构。第一层可以理解未菜单的展示和列表数据的查询权限，第二层的增删改页面内的动作权限。前端根据这个树形结构可以隐藏和显示页面和动作按钮，后端根据这个映射判断是否能进入接口。

以下根据DEMO的最佳实践

1.权限的定义都放在Application.Contracts层

2.创建Permisssions文件夹存放定义权限的类文件

3.创建一个静态类存放权限引用名称的常量（定义好就不要改了，我自己开发喜欢用特性标注在指定的方法入口上，导致权限的声明遍布很多个地方，而APB的这种方式更优秀，集中在一个地方的管理维护，不会乱又容易阅读理解，真香）

4.创建权限定义提供者（PermissionDefinitationProvider)，这里是真正定义权限的地方。

权限文件的结构

权限定义

设置好后到管理页面就可以看到授权的选项了

5.以上制作了权限定义和分配的工作，接下来需要设置菜单的展示与否的工作

重点注意当前账号是否有某一个权限的判断方式。
到这里菜单的显示权限也完成了

6.视觉上是做到了，但是如果我知道页面的地址，直接输入页面地址还是能访问的到。按照脚手架使用的是Razor开发的页面，可以对页面授权，只有指定授权了的页面才可以进入。配置后，无权限的账号是访问不到指定的页面的

这里又有一个小坑，页面访问拒绝的回调页面是404.因为脚手架选择的是分层的，所以授权的地址在Id4服务应用下，端口不是44380。解决方法，可以在44380加上一个页面即可。在授权页面的方法里也没有找到配置跳转主机地址。问题不大，实际业务中我并不会用razor来开发，或者这个是前端同事需要关心的问题就不深究了

7.菜单内动作按钮的展示（目的要做到有权限展示无权限隐藏的效果，基本上都能猜到怎么做了）

同样重点需要了解Razor页面是通过什么方式校验权限的（前端依赖注入的方式 @inject需要掌握）
遇到一个小坑，就是修改了权限后没有立即生效。发现ABP的缓存并不是我期望的那样，修改编辑后立即生效，而是需要等到缓存过期了才生效。清空redis的缓存就可以看到效果。这里之后需要深入的了解写，估计大概率没有我期望的缓存功能。

以上都是在 razor页面内实现的，如果在js中就没办法这么使用，或者把JS内容放到razor页面又显得不那么合适。不过不想都知道ABP一定做了这方面的准备，在页面console打印abp对象，就很容易找到相关的方法。这部分的JS也可以引用到任何前端框架中使用。我都觉得NPM中都有各个前端框架需要的依赖

最后修改下Books/Index.js文件就完成了

8.最后的步骤是设置接口的访问权限，以上大致的目的是控制UI方面的显示或者隐藏，最终要的是涉及到接口访问的控制
查看下源码，接口的访问校验没有很高深的地方，还是很好理解的。

以Create为例，其他都是同理。比较粗暴的直接在方法里的第一步就校验是否有权限，如果没有叫跑AbpAuthroiationException，外部捕获后解析403未授权（猜的，我也这么做）

那到这部分就清楚了，如果是CRUD的方法就指定对应各个方法的PolicyName，基类中自然会有校验，不需要更多的步骤。如果是自定义的方法，就需要主动的执行CheckPolicy检查。按我之前的脾气，喜欢直接在方法上加一个注解，参数设置PolicyName，看起来挺完美。但是工作中出现过这么一个问题，很多方法都是同一个权限引用名称（即上述的BookStore.Books.Create)，所以中和以下，我将要写一个注解，PolicyName在构造方法中和CRUD的名称同一个地方定义，保持良好的队形

接下来先把BOOK 的CRUD的访问控制加上

测试了下，成功拦截了没有权限的访问。但是验证下我自定义的一个方法HELLOWORLD,仍然可以调用成功。因为我没有对这个方法做任何校验工作。

HELLOWORLD方法上加上CREATE的策略

成功拦截

但是有个问题，虽然成功拦截了但是UI页面没有弹出通用的Alert对话框，虽然无大碍，但是还是要找到原因。首先在前端abp.jqeruy中打印接口回调，发现你是undefined，但是F12看到是有数据返回的。在看下request请求头，发现accept一个是 application/json另一个是text/plain。这个是原因的所在。ABP根据控制器返回的类型定义accpet参数。Helloworld方法返回的是string格式，所以只需要改成具体的Model应该就没问题了。试一下看看

成功，换一个随便创建的MODEL试下

一样都是正常的，那授权的部分基本结束了

9.checkPolicy写在业务代码中不喜欢，加个特性放到外面来。但是习惯性的使用原生的controller，和actionfilter特性，相当然这里也这么写。肯定是不可以的，需要在上一层映射执行这个方法的地方来判断，改源码不可能的。

看了下DEMO ABP已经实现了。即利用Authorize特性即可

功能是实现了，但是提示的内容没有显示的告知策略名称。虽然这种更好，但是就是有点不爽。

现在遇到一个很狗的事情，就是在单应用脚手架程序中是正常的。但是在分层的应用中只有CURD的内置的支持，额外创建的权限无论设置与否都是显示无权限。回家又好了，好诡异，可能是昨天没睡好的原因

10.一切都正常了，在登录的时候，点击取消会出现异常。原因是取消的时候也返回sigin-oidc页面，但是ID4并没有授权。导致异常，这个可能是ABP的BUG。同上不改源码，在MVC端可以设置授权事件回调，在授权取消的回调事件中完成页面的跳转，不回调sigin-oidc这个页面就不会有问题了

11.最后的最后发现自己是小丑，看的都是中文的，文档不全。。。后来刚刚发现原来英文的文档是全的的。。。