文章目录前言OpenZeppelin AccessControl 合约核心总结与单元测试1. AccessControl 是什么2. AccessControl 合约关键方法3. AccessControl 合约单元测试前言如果您觉得有用的话记得给博主点个赞评论收藏一键三连啊写作不易啊^ _ ^。而且听说点赞的人每天的运气都不会太差实在白嫖的话那欢迎常来啊!!!OpenZeppelin AccessControl 合约核心总结与单元测试1. AccessControl 是什么OpenZeppelin 提供 基于角色的权限控制RBAC的 合约模板用来给不同地址分配不同操作权限避免直接用 onlyOwner。AccessControl 合约主要分为 5 大模块:模块核心作用关键内容角色定义声明系统里有哪些角色内置 DEFAULT_ADMIN_ROLE默认管理员角色支持自定义角色如 ROLE_MANAGER、ROLE_NORMAL权限控制限制函数调用权限提供 onlyRole(角色) 修饰符只有拥有对应角色的地址才能调用被修饰的函数角色分配给地址授予 / 撤销角色grantRole(角色, 地址)授予角色revokeRole(角色, 地址)撤销角色角色检查验证地址是否拥有某角色hasRole(角色, 地址)返回布尔值用于权限校验角色管理管理角色的管理员权限_setRoleAdmin(角色, 管理员角色)设置某个角色的管理员getRoleAdmin(角色)查询某个角色的管理员2. AccessControl 合约关键方法下边是一个合约示例。// SPDX-License-Identifier: MIT pragma solidity ^0.8.28;// 导入OpenZeppelin的AccessControl合约importopenzeppelin/contracts/access/AccessControl.sol;// 自定义合约继承AccessControl获得所有权限功能 contract MyContract is AccessControl{//1. 定义自定义角色用keccak256生成唯一bytes32标识 bytes32 public constant ROLE_MANAGERkeccak256(ROLE_MANAGER);bytes32 public constant ROLE_NORMALkeccak256(ROLE_NORMAL);//2. 构造函数部署时给部署者授予最高管理员权限constructor(){_grantRole(DEFAULT_ADMIN_ROLE, _msgSender());}//3. 角色管理函数只有DEFAULT_ADMIN_ROLE能调用 // 功能将ROLE_NORMAL的管理员设置为ROLE_MANAGERfunctionsetRoleAdmin()external onlyRole(DEFAULT_ADMIN_ROLE){_setRoleAdmin(ROLE_NORMAL, ROLE_MANAGER);}//4. 权限控制函数只有ROLE_NORMAL能调用functionnormalThing()external onlyRole(ROLE_NORMAL){// 业务逻辑}//5. 权限控制函数只有ROLE_MANAGER能调用functionspecialThing()external onlyRole(ROLE_MANAGER){// 业务逻辑}}继承AccessControl类后会出现一些AccessControl的默认方法。这些都是 OpenZeppelin AccessControl 合约的内置公共 / 外部函数。角色分配与撤销类方法名参数作用grantRolebytes32 role, address account授予角色只有该角色的管理员才能调用给指定地址 account 分配 role 权限revokeRolebytes32 role, address account撤销角色只有该角色的管理员才能调用收回指定地址 account 的 role 权限renounceRolebytes32 role, address callerConfirmation主动放弃角色调用者必须是 callerConfirmation 地址主动放弃自己的 role 权限用于安全退出角色查询与管理类:方法名参数作用hasRolebytes32 role, address account检查权限返回布尔值判断 account 是否拥有 role 权限getRoleAdminbytes32 role查询管理员角色返回管理 role 的上级角色比如 ROLE_NORMAL 的管理员是 ROLE_MANAGERsupportsInterfacebytes4 interfaceId接口检查EIP-165 标准用来验证合约是否实现了某个接口AccessControl 实现了权限管理接口其中onlyRole(ROLE_NORMAL) 是 AccessControl 提供的权限修饰符用来限制函数调用者。3. AccessControl 合约单元测试版本:技术:solidity ^0.8.28、hardhat 2.28.4、openzeppelin 5.6.1 ethers 6.16.0测试用例:核心用例1验证部署者默认拥有最高权限DEFAULT_ADMIN_ROLE;核心用例2验证角色授予/检查功能正常deployer给manager授ROLE_MANAGER;核心用例3验证角色管理员设置生效ROLE_MANAGER可给他人授ROLE_NORMAL;边界用例1无权限账户无法调用受保护函数noRoleUser调用normalThing;边界用例2普通角色无法调用管理员角色的受保护函数normalUser调用specialThing;边界用例3非默认管理员无法修改角色管理员配置manager调用setRoleAdmin;边界用例4角色撤销功能生效撤销后无法调用受保护函数;源码:import{expect}fromchai;importnomicfoundation/hardhat-chai-matchers;import{ethers}fromhardhat;import{SignerWithAddress}fromnomicfoundation/hardhat-ethers/signers;// 声明合约中自定义的角色和你的Solidity合约角色名保持一致 const ROLE_MANAGERethers.keccak256(ethers.toUtf8Bytes(ROLE_MANAGER));const ROLE_NORMALethers.keccak256(ethers.toUtf8Bytes(ROLE_NORMAL));// 内置默认管理员角色AccessControl 原生常量 const DEFAULT_ADMIN_ROLEethers.ZeroHash;describe(MyAccessControlContract,function(){// 全局测试变量复用any类型对齐原示例letmyContract: any;// 合约部署者默认拥有DEFAULT_ADMIN_ROLEletdeployer: SignerWithAddress;// 测试用账户管理员角色、普通角色、无权限角色letmanager: SignerWithAddress;letnormalUser: SignerWithAddress;letnoRoleUser: SignerWithAddress;// 前置钩子每个用例执行前初始化合约账户对齐原示例beforeEach beforeEach(asyncfunction(){// 获取Hardhat本地测试账户按用途分配[deployer, manager, normalUser, noRoleUser]await ethers.getSigners()as SignerWithAddress[];// 部署合约完全对齐原示例的工厂部署写法 const MyContractFactoryawait ethers.getContractFactory(MyAccessControlContract);myContractawait MyContractFactory.deploy();await myContract.waitForDeployment();// 等待上链生效 // 公共权限初始化部署者给manager授ROLE_MANAGER再设置ROLE_NORMAL的管理员为ROLE_MANAGER await myContract.grantRole(ROLE_MANAGER, manager.address);await myContract.setRoleAdmin();// 调用合约内的角色管理员设置方法});// 核心用例1验证部署者默认拥有最高权限DEFAULT_ADMIN_ROLE it(should make deployer own DEFAULT_ADMIN_ROLE by default, asyncfunction(){const hasAdminRoleawait myContract.hasRole(DEFAULT_ADMIN_ROLE, deployer.address);expect(hasAdminRole).to.be.true;});// 核心用例2验证角色授予/检查功能正常deployer给manager授ROLE_MANAGER it(should grant ROLE_MANAGER to target address successfully, asyncfunction(){const hasManagerRoleawait myContract.hasRole(ROLE_MANAGER, manager.address);expect(hasManagerRole).to.be.true;});// 核心用例3角色管理员设置生效ROLE_MANAGER可给他人授ROLE_NORMAL it(should allow ROLE_MANAGER to grant ROLE_NORMAL, asyncfunction(){// 用manager账户调用合约原示例签名风格的账户切换 await myContract.connect(manager).grantRole(ROLE_NORMAL, normalUser.address);const hasNormalRoleawait myContract.hasRole(ROLE_NORMAL, normalUser.address);expect(hasNormalRole).to.be.true;});// 边界用例1无权限账户无法调用受保护函数noRoleUser调用normalThing it(should reject no-role user to call ROLE_NORMAL protected function, asyncfunction(){// 断言调用会被revertAccessControl 原生的权限校验失败回滚 await expect(myContract.connect(noRoleUser).normalThing()).to.be.revertedWithCustomError(myContract,AccessControlUnauthorizedAccount).withArgs(noRoleUser.address, ROLE_NORMAL);});// 边界用例2普通角色调用管理员角色的受保护函数normalUser调用specialThing it(should reject ROLE_NORMAL user to call ROLE_MANAGER protected function, asyncfunction(){// 先给normalUser授普通角色 await myContract.connect(manager).grantRole(ROLE_NORMAL, normalUser.address);// 断言调用失败 await expect(myContract.connect(normalUser).specialThing()).to.be.revertedWithCustomError(myContract,AccessControlUnauthorizedAccount).withArgs(normalUser.address, ROLE_MANAGER);});// 边界用例3非默认管理员无法修改角色管理员配置manager调用setRoleAdmin it(should reject non-DEFAULT_ADMIN to call setRoleAdmin, asyncfunction(){await expect(myContract.connect(manager).setRoleAdmin()).to.be.revertedWithCustomError(myContract,AccessControlUnauthorizedAccount).withArgs(manager.address, DEFAULT_ADMIN_ROLE);});// 边界用例4角色撤销功能生效撤销后无法调用受保护函数 it(should revoke role and reject protected function call, asyncfunction(){// 授予角色→验证可调用→撤销角色→验证不可调用 await myContract.connect(manager).grantRole(ROLE_NORMAL, normalUser.address);expect(await myContract.hasRole(ROLE_NORMAL, normalUser.address)).to.be.true;// 关键修改用ROLE_MANAGERmanager账户撤销而非deployer await myContract.connect(manager).revokeRole(ROLE_NORMAL, normalUser.address);await expect(myContract.connect(normalUser).normalThing()).to.be.revertedWithCustomError(myContract,AccessControlUnauthorizedAccount).withArgs(normalUser.address, ROLE_NORMAL);});});测试:npx hardhattesttest/MyAccessControlContract.ts测试成功!!!