Casbin
- Casbin
- 模型基础(PERM)
- Policy定义
- Request定义
- Matchers
- Effect
- ACL模型
- RBAC模型
- Go语言实战
- 使用前先下载casbin包
- 新建一个Casbin enforcer
- 判断是否能通过
- 增加Policy
- 删除Policy
- 更新Policy
- 获取Policy
Casbin
权限管理在几乎每个系统中都是必备的模块。如果项目开发每次都要实现一次权限管理,无疑会浪费开发时间,增加开发成本。
Casbin是一个强大和高效的开放源码访问控制库,它支持各种访问控制模型以强制全面执行授权。
官网地址:https://casbin.org/zh/
模型基础(PERM)
在Casbin中,访问控制模型被抽象为基于PERM(Policy,Effect,Request,Matcher)的一个配置文件。切换或升级项目的授权机制就像修改配置一样简单。我们可以通过组合可用的模型来定制我们自己的访问控制模型。
在了解PERM模型之前,我们首先了解一下它的几个参数:
- subject:sub 访问实体(想要访问资源的用户)
- object:obj访问的资源(将被访问的资源)
- action:act访问方法(用户对资源执行的操作)
- eft:策略结果,一般为空,默认指定allow
这几个参数都是组合到一起使用:
eg:
r = sub, obj, act
p,0,user/get/info,GET
//策略表示:sub为0的用户想要访问obj为user/get/info的资源,且资源的访问方法为GET方法。
如果用户所对应的request与上面policy对应的话,eft(策略结果就会放回true放行)
接下来我们看一下具体的PERM模型
Policy定义
Policy 就是一种定义,它界定了策略的含义。
p={sub,obj,act,eft}
[policy_definition] //定义
p = sub, obj, act
p2 = sub, actp, alice, data1, read
p2, bob, write-all-objects(alice, data1, read) -> (p.sub, p.obj, p.act)
(bob, write-all-objects) -> (p2.sub, p2.act)
策略有两种存储方式:
- policy.csv
- 存储到数据库中
策略一般会存储到数据库,因为会有很多策略
Request定义
eg:
r = (sub,obj,act)
在本例中,sub、obj和act代表经典的访问三元组:主题(访问实体)、对象(访问资源)和操作(访问方法)。但是,我们也可以自定义自己的请求格式。例如,如果不需要指定特定的资源,可以使用sub, act;如果有两个访问实体,可以使用sub, sub2, obj, act。
Matchers
Matchers 匹配规则 Request和Policy的匹配规则
m = r.sub == p.sub&&r.act==p.act&&r.obj ==p.obj
Request请求过来与Policy中策略通过Matchers中的规则进行匹配,从而返回匹配结果(eft),如果匹配成功,会默认返回allow 我们也可以自定义返回结果,如果定义过了,就会返回我们定义过的那个结果。
Effect
Effect是对policy生效范围的定义,它决定我们是否可以放行。
eg:
e = some(where(p.eft == allow))
//这种情况下 我们的一个matchers匹配完成 得到了allow 那么这条请求将被放行
e = some(where (p.eft == allow)) && !some(where (p.eft == deny))
//这意味着必须至少有一个匹配的策略规则为允许,而不能有任何匹配的策略规则为拒绝。因此,以这种方式支持允许和拒绝授权,并且拒绝覆盖。
Casbin官方对Effect的规则是规定好的:一共有5种。
ACL模型
简单的ACL模型就是我们刚刚提到的那几种参数组成的模型,用户请求Request之后,会按照Model中的matchers去跟Policy匹配,如果匹配成功默认返回allow,不成功就是deny,然后再去Model中的policy_effect看本次权限校验是否返回true。
RBAC模型
Casbin支持RBAC系统的多个实例,用户可以拥有角色和它们的继承关系,资源也可以拥有角色和它们的继承关系。这两个RBAC系统不会相互干扰。
可以看到,RBAC模型比ACL模型多了一个role_definition
role_definition
g= _ , _
//第一个参数是用户名,第二个参数就是该用户名所对应的身份。
RBAC模型执行流程为:
用户请求Request之后,会按照Model中的matchers去跟Policy中的g先匹配,匹配成功得到该用户的身份,然后再去g中匹配,如果匹配成功默认返回allow,不成功就是deny,然后再去Model中的policy_effect看本次权限校验是否返回true。
上图例子:
- 根据Model中matchers将request与policy进行匹配
alice匹配到Policy中g,alice,data2_admin- Policy中p的sub是data2_admin有两个
- data2_admin,data2,read
- data2_admin,data2,write
- 最后根据matchers得到的匹配结果是p,data2_admin,data2,read
Go语言实战
使用前先下载casbin包
go get github.com/casbin/casbin/v2
新建一个Casbin enforcer
Casbin使用配置文件定义访问控制模型。
有两个配置文件:model.conf和policy.csv。model.conf存储访问模型,policy.csv存储具体的用户权限配置。
e, err := casbin.NewEnforcer("path/to/model.conf", "path/to/policy.csv")
其中存储具体的用户权限配置我们也可以使用数据库来存储
a, _ := gormadapter.NewAdapter("mysql", "root:123456@tcp(127.0.0.1:3306)/user", true) // /user代表使用哪个数据库,true代表如果没有这个数据库就新建,默认为false
e, err := casbin.NewEnforcer("./model.conf", a)
判断是否能通过
判断“主题”是否能够用“动作”操作访问“对象”,输入参数通常是:(sub,obj,act)。
sub := "alice" // 想要访问资源的用户。
obj := "data1" // 将被访问的资源。
act := "read" // 用户对资源执行的操作。ok, err := e.Enforce(sub, obj, act)if err != nil {fmt.Printf("%s", err)
}if ok == true {fmt.Println("通过")} else {fmt.Println("未通过")
}
增加Policy
AddPolicy 向当前策略添加授权规则。 如果规则已经存在,函数返回false,并且不会添加规则。 否则,函数通过添加新规则并返回true。
//增加单个
add, err := e.AddPolicy("alice", "data1", "read")
//批量增加
rules := [][] string {[]string {"jack", "data4", "read"},[]string {"katy", "data4", "write"},[]string {"leyo", "data4", "read"},[]string {"ham", "data4", "write"},
}areRulesAdded := e.AddPolicies(rules)
删除Policy
RemovePolicy 从当前策略中删除授权规则。
//删除单个
removed := e.RemovePolicy("alice", "data1", "read")
//批量删除
rules := [][] string {[]string {"jack", "data4", "read"},[]string {"katy", "data4", "write"},[]string {"leyo", "data4", "read"},[]string {"ham", "data4", "write"},
}areRulesRemoved := e.RemovePolicies(rules)
更新Policy
UpdatePolicy 把旧的政策更新到新的政策
//单个更新
updated, err := e.UpdatePolicy([]string{"eve", "data3", "read"}, []string{"eve", "data3", "write"})
//批量更新
updated, err := e.UpdatePolicies(
[][]string{
{"eve", "data3", "read"},
{"jack", "data3", "read"}},
[][]string{
{"eve", "data3", "write"},
{"jack", "data3", "write"}})
获取Policy
//GetPolicy 获取策略中的所有授权规则。
policy = e.GetPolicy()
//GetFilteredPolicy 获取策略中的所有授权规则,可以指定字段筛选器。
filteredPolicy := e.GetFilteredPolicy(0, "alice")
//GetNamedPolicy 获取命名策略中的所有授权规则。
namedPolicy := e.GetNamedPolicy("p")
//GetFilteredNamedPolicy 获取命名策略中的所有授权规则,可以指定字段过滤器。
filteredNamedPolicy = e.GetFilteredNamedPolicy("p", 0, "bob")
