当前位置：首页 > article >正文

OpenZeppelin AccessControl 合约核心总结与单元测试

article 2026/3/19 15:01:22

文章目录前言OpenZeppelin AccessControl 合约核心总结与单元测试1. AccessControl 是什么2. AccessControl 合约关键方法3. AccessControl 合约单元测试前言如果您觉得有用的话记得给博主点个赞评论收藏一键三连啊写作不易啊^ _ ^。而且听说点赞的人每天的运气都不会太差实在白嫖的话那欢迎常来啊!!!OpenZeppelin AccessControl 合约核心总结与单元测试1. AccessControl 是什么OpenZeppelin 提供基于角色的权限控制RBAC的合约模板用来给不同地址分配不同操作权限避免直接用 onlyOwner。AccessControl 合约主要分为 5 大模块:模块核心作用关键内容角色定义声明系统里有哪些角色内置 DEFAULT_ADMIN_ROLE默认管理员角色支持自定义角色如 ROLE_MANAGER、ROLE_NORMAL权限控制限制函数调用权限提供 onlyRole(角色) 修饰符只有拥有对应角色的地址才能调用被修饰的函数角色分配给地址授予 / 撤销角色grantRole(角色, 地址)授予角色revokeRole(角色, 地址)撤销角色角色检查验证地址是否拥有某角色hasRole(角色, 地址)返回布尔值用于权限校验角色管理管理角色的管理员权限_setRoleAdmin(角色, 管理员角色)设置某个角色的管理员getRoleAdmin(角色)查询某个角色的管理员2. AccessControl 合约关键方法下边是一个合约示例。// SPDX-License-Identifier: MIT pragma solidity ^0.8.28;// 导入OpenZeppelin的AccessControl合约importopenzeppelin/contracts/access/AccessControl.sol;// 自定义合约继承AccessControl获得所有权限功能 contract MyContract is AccessControl{//1. 定义自定义角色用keccak256生成唯一bytes32标识 bytes32 public constant ROLE_MANAGERkeccak256(ROLE_MANAGER);bytes32 public constant ROLE_NORMALkeccak256(ROLE_NORMAL);//2. 构造函数部署时给部署者授予最高管理员权限constructor(){_grantRole(DEFAULT_ADMIN_ROLE, _msgSender());}//3. 角色管理函数只有DEFAULT_ADMIN_ROLE能调用 // 功能将ROLE_NORMAL的管理员设置为ROLE_MANAGERfunctionsetRoleAdmin()external onlyRole(DEFAULT_ADMIN_ROLE){_setRoleAdmin(ROLE_NORMAL, ROLE_MANAGER);}//4. 权限控制函数只有ROLE_NORMAL能调用functionnormalThing()external onlyRole(ROLE_NORMAL){// 业务逻辑}//5. 权限控制函数只有ROLE_MANAGER能调用functionspecialThing()external onlyRole(ROLE_MANAGER){// 业务逻辑}}继承AccessControl类后会出现一些AccessControl的默认方法。这些都是 OpenZeppelin AccessControl 合约的内置公共 / 外部函数。角色分配与撤销类方法名参数作用grantRolebytes32 role, address account授予角色只有该角色的管理员才能调用给指定地址 account 分配 role 权限revokeRolebytes32 role, address account撤销角色只有该角色的管理员才能调用收回指定地址 account 的 role 权限renounceRolebytes32 role, address callerConfirmation主动放弃角色调用者必须是 callerConfirmation 地址主动放弃自己的 role 权限用于安全退出角色查询与管理类:方法名参数作用hasRolebytes32 role, address account检查权限返回布尔值判断 account 是否拥有 role 权限getRoleAdminbytes32 role查询管理员角色返回管理 role 的上级角色比如 ROLE_NORMAL 的管理员是 ROLE_MANAGERsupportsInterfacebytes4 interfaceId接口检查EIP-165 标准用来验证合约是否实现了某个接口AccessControl 实现了权限管理接口其中onlyRole(ROLE_NORMAL) 是 AccessControl 提供的权限修饰符用来限制函数调用者。3. AccessControl 合约单元测试版本:技术:solidity ^0.8.28、hardhat 2.28.4、openzeppelin 5.6.1 ethers 6.16.0测试用例:核心用例1验证部署者默认拥有最高权限DEFAULT_ADMIN_ROLE;核心用例2验证角色授予/检查功能正常deployer给manager授ROLE_MANAGER;核心用例3验证角色管理员设置生效ROLE_MANAGER可给他人授ROLE_NORMAL;边界用例1无权限账户无法调用受保护函数noRoleUser调用normalThing;边界用例2普通角色无法调用管理员角色的受保护函数normalUser调用specialThing;边界用例3非默认管理员无法修改角色管理员配置manager调用setRoleAdmin;边界用例4角色撤销功能生效撤销后无法调用受保护函数;源码:import{expect}fromchai;importnomicfoundation/hardhat-chai-matchers;import{ethers}fromhardhat;import{SignerWithAddress}fromnomicfoundation/hardhat-ethers/signers;// 声明合约中自定义的角色和你的Solidity合约角色名保持一致 const ROLE_MANAGERethers.keccak256(ethers.toUtf8Bytes(ROLE_MANAGER));const ROLE_NORMALethers.keccak256(ethers.toUtf8Bytes(ROLE_NORMAL));// 内置默认管理员角色AccessControl 原生常量 const DEFAULT_ADMIN_ROLEethers.ZeroHash;describe(MyAccessControlContract,function(){// 全局测试变量复用any类型对齐原示例letmyContract: any;// 合约部署者默认拥有DEFAULT_ADMIN_ROLEletdeployer: SignerWithAddress;// 测试用账户管理员角色、普通角色、无权限角色letmanager: SignerWithAddress;letnormalUser: SignerWithAddress;letnoRoleUser: SignerWithAddress;// 前置钩子每个用例执行前初始化合约账户对齐原示例beforeEach beforeEach(asyncfunction(){// 获取Hardhat本地测试账户按用途分配[deployer, manager, normalUser, noRoleUser]await ethers.getSigners()as SignerWithAddress[];// 部署合约完全对齐原示例的工厂部署写法 const MyContractFactoryawait ethers.getContractFactory(MyAccessControlContract);myContractawait MyContractFactory.deploy();await myContract.waitForDeployment();// 等待上链生效 // 公共权限初始化部署者给manager授ROLE_MANAGER再设置ROLE_NORMAL的管理员为ROLE_MANAGER await myContract.grantRole(ROLE_MANAGER, manager.address);await myContract.setRoleAdmin();// 调用合约内的角色管理员设置方法});// 核心用例1验证部署者默认拥有最高权限DEFAULT_ADMIN_ROLE it(should make deployer own DEFAULT_ADMIN_ROLE by default, asyncfunction(){const hasAdminRoleawait myContract.hasRole(DEFAULT_ADMIN_ROLE, deployer.address);expect(hasAdminRole).to.be.true;});// 核心用例2验证角色授予/检查功能正常deployer给manager授ROLE_MANAGER it(should grant ROLE_MANAGER to target address successfully, asyncfunction(){const hasManagerRoleawait myContract.hasRole(ROLE_MANAGER, manager.address);expect(hasManagerRole).to.be.true;});// 核心用例3角色管理员设置生效ROLE_MANAGER可给他人授ROLE_NORMAL it(should allow ROLE_MANAGER to grant ROLE_NORMAL, asyncfunction(){// 用manager账户调用合约原示例签名风格的账户切换 await myContract.connect(manager).grantRole(ROLE_NORMAL, normalUser.address);const hasNormalRoleawait myContract.hasRole(ROLE_NORMAL, normalUser.address);expect(hasNormalRole).to.be.true;});// 边界用例1无权限账户无法调用受保护函数noRoleUser调用normalThing it(should reject no-role user to call ROLE_NORMAL protected function, asyncfunction(){// 断言调用会被revertAccessControl 原生的权限校验失败回滚 await expect(myContract.connect(noRoleUser).normalThing()).to.be.revertedWithCustomError(myContract,AccessControlUnauthorizedAccount).withArgs(noRoleUser.address, ROLE_NORMAL);});// 边界用例2普通角色调用管理员角色的受保护函数normalUser调用specialThing it(should reject ROLE_NORMAL user to call ROLE_MANAGER protected function, asyncfunction(){// 先给normalUser授普通角色 await myContract.connect(manager).grantRole(ROLE_NORMAL, normalUser.address);// 断言调用失败 await expect(myContract.connect(normalUser).specialThing()).to.be.revertedWithCustomError(myContract,AccessControlUnauthorizedAccount).withArgs(normalUser.address, ROLE_MANAGER);});// 边界用例3非默认管理员无法修改角色管理员配置manager调用setRoleAdmin it(should reject non-DEFAULT_ADMIN to call setRoleAdmin, asyncfunction(){await expect(myContract.connect(manager).setRoleAdmin()).to.be.revertedWithCustomError(myContract,AccessControlUnauthorizedAccount).withArgs(manager.address, DEFAULT_ADMIN_ROLE);});// 边界用例4角色撤销功能生效撤销后无法调用受保护函数 it(should revoke role and reject protected function call, asyncfunction(){// 授予角色→验证可调用→撤销角色→验证不可调用 await myContract.connect(manager).grantRole(ROLE_NORMAL, normalUser.address);expect(await myContract.hasRole(ROLE_NORMAL, normalUser.address)).to.be.true;// 关键修改用ROLE_MANAGERmanager账户撤销而非deployer await myContract.connect(manager).revokeRole(ROLE_NORMAL, normalUser.address);await expect(myContract.connect(normalUser).normalThing()).to.be.revertedWithCustomError(myContract,AccessControlUnauthorizedAccount).withArgs(normalUser.address, ROLE_NORMAL);});});测试:npx hardhattesttest/MyAccessControlContract.ts测试成功!!!

OpenZeppelin AccessControl 合约核心总结与单元测试

相关文章：

OpenZeppelin AccessControl 合约核心总结与单元测试

Ethers 加签 + Solidity 合约验签实现单元测试 demo

SpringBoot 配置文件核心用法（Properties YAML）

什么是原型链（Prototype Chain）？proto和prototype的关系与区别是什么？

博世 HBA 液压制动辅助系统性能规范详解

前端-小米商城静态版复刻总结

Python 全栈实战 · 第8章

不学 Python，Java 也能调大模型？15 分钟跑通第一个 AI 接口（Java 架构师的 AI 工程笔记 01）

GEE案例分析：基于Dynamic World 数据的农用地识别活跃与休耕农田

洛谷 B4497：[GESP202603 二级] 数数

大型城市二次供水设施远程智能管理系统

Java后端开发笔试知识点复习（一）

股票基金：欧洲各类指数都是什么意思 / 成分是什么

Java程序设计(第3版)——配置环境变量之path

股票基金：全球各类指数都是什么意思 / 成分是什么

什么是 MCP？Model Context Protocol 深度解析

07. Capture 中 Find 的高阶小应用_正则表达式 I OrCAD X Capture CIS 设计小诀窍第三季

浅聊Flink的广播模式

HarmonyOS6 ArkTS 外描边（outline）使用文档

在中国读者中，哪些科幻小说是畅销的？为什么它们畅销

金仓数据库在MySQL迁移中的技术观察：高兼容性与平滑替代路径实践

属电子信息类专业电子信息工程（Electronic Information Engineering，简称 EE）专业是什么？

金仓数据库在MySQL迁移中的实践复盘：一家三甲医院电子病历系统性能与成本优化实录

YOLO系列算法改进 | 主干改进篇 | 替换SHViT高效视觉变换器 | 助力模型极致轻量化，同时保持高精度性能！ | CVPR 2024

StressTheGPU v1.44 丨便携显卡压力测试工具

基于DQ轴谐波提取器的PMSM永磁同步电机谐波抑制技术：五七次谐波的有效抑制与电流环解耦补偿应用

HoRain云--Dash 简介

Node.js - 04：MongoDB、会话控制

大模型工具使用

AI辅助开发：前端“加速器”还是后端“稳定器”？——基于项目类型与用户规模的实战指南