casbin 权限管理库介绍 (规范实现 acl, rbac,abac)等

Casbin介绍

日常开发中我们经常需要设计用户对资源的访问权限控制。我发现手动设计模型、数据库表定义很不规范, 所以进行了一些调研。我发现casbin这个库很大程度上实现了标准化的需求, 牛刀小试引入了公司的一个需求中, 感觉开发效率确实很高, 所以博客分享一下。

Casbin是一款开源的访问控制框架,它使用简单的表达式语言来定义各种访问控制模型(RBAC)和访问控制策略。开发人员可以使用这些策略来限制用户对系统中的资源的访问。

优点:

  • 灵活性高:支持实现各种访问控制模型(RBAC、ABAC等),模型升级方便
  • 规范化:避免手工编码权限规则和策略,无需从头设计数据库表结构,可以使用适配器将访问策略保存到mysql、redis、etcd等
  • 多语言支持 : Go, python, node, Java, etc
  • 支持规则匹配符(匹配路由等)
  • 支持多层角色继承
  • 支持多租户: 如将工作空间视为一个租户
  • 前后端一致

不足:

  • 规则书写没有可视化编辑界面、需要手动对双引号进行转义等

ACL模型

模型文件定义如下

# model.conf 文件
[request_definition]
r = sub, obj,act
# 请求格式定义,表示sub对obj执行act, 定义 Enforce 请求授权函数的参数[policy_definition]
p = sub, obj, act
# 策略格式定义, 和策略文件中的策略对应[policy_effect]
e = some(where (p.eft == allow))
# 表示当多个策略匹配请求时, 怎么确定是否允许访问
# 这里 e = some(where (p.eft == allow))表示只要有一条策略允许访问, 最终的结果就是允许[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act
# 匹配器,当执行访问请求时,匹配对应的策略

创建策略文件

# policy.csv
p, alice, data1, read
p, bob, data2, write

这个策略文件定义了两个规则。第一个规则指定Alice可以读取data1,第二个规则指定Bob可以写入data2。

加载策略文件

e, err := casbin.NewEnforcer("path/to/policy/file", "path/to/model/file")

这将创建一个新的Casbin实例,并将策略文件和模型文件加载到该实例中。

检查访问权限
下面的代码将检查Alice是否有权读取data1:

if e.Enforce("alice", "data1", "read") {fmt.Println("Alice can read data1")
} else {fmt.Println("Alice cannot read data1")
}

这将输出“Alice can read data1”,因为Alice在策略文件中被授权读取data1。
修改策略

added := e.AddPolicy('eve', 'data3', 'read')
e.SavePolicy()

这将策略保存当前策略文件

RBAC 模型

RBAC只需要在模型中增加 role_definition及修改对应匹配器

[role_definition]
g = _, _
# 第一个_表示用户,第二个_表示角色
[matchers]
m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act
# g(r.sub, p.sub) 表示 请求的 sub的角色 和 策略中的sub匹配

策略此时可以写成

p, admin, data1, read
r, alice, admin

表示alice是admin角色, 可以read data1

角色层次

Casbin 的 RBAC 支持 RBAC1 的角色层次结构功能,如果alice具有role1,role1具有role2,则alice也将拥有role2并继承其权限。

多租户

需要在模型增加 domain相关定义
模型文件定义如下

[request_definition]
r = sub, dom, obj, act[policy_definition]
p = sub, dom, obj, act[role_definition]
g = _, _, _
# 第三个 _ 表示域/租户的名称[policy_effect]
e = some(where (p.eft == allow))[matchers]
m = g(r.sub, p.sub, r.dom) && r.dom == p.dom && r.obj == p.obj && r.act == p.act

策略文件相应改为

p, admin, tenant1, data1, read
p, admin, tenant2, data2, readg, alice, admin, tenant1
g, alice, user, tenant2

表示alice在tenant1内是admin角色, 可以read data1

管理api

casbin支持完善的RBAC 相关的API, 如新增角色、删除角色, 获取用户所有角色等 https://casbin.org/zh/docs/rbac-api

ABAC 模型

casbin也可以方便实现ABAC模型, 如下,如果申请者是obj的所有者, 可以做任意事情

[request_definition]
r = sub, obj, act[policy_definition]
p = sub, obj, act[role_definition]
g = _, _[policy_effect]
e = some(where (p.eft == allow))[matchers]
m = r.sub.Name == r.obj.Owner

这里 r.sub 和 r.obj 都可以有自己的属性,使用ABAC时, 需要在 Enforce函数使用有属性的数据类, eg

class Task:def __init__(self, name, owner):self.Name = nameself.Owner = owner
task1 = Task('t1', 'alice')class User:def __init__(self, name):self.Name = namealice = User('alice')
bob = User('bob')
assert e.enforce(alice, task1, 'delete') == True
assert e.enforce(bob, task1, 'delete') == False

Model存储

一般从文件中直接读取, 不在运行时改变

Policy存储

可以通过适配器保存策略到mysql, redis, etcd等, 例如

a, _ := gormadapter.NewAdapter("mysql", "mysql_username:mysql_password@tcp(127.0.0.1:3306)/") // Your driver and data source.e, _ := casbin.NewEnforcer("examples/rbac_model.conf", a)

然后通过适配器API对策略进行管理

多实例同步

分布式同步服务多实例部署情况下可以使用 etcd, redis等进行同步策略变更 https://casbin.org/docs/watchers, eg

w, _ := etcdwatcher.NewWatcher([]string{"http://127.0.0.1:2379"}, "keyname")// Initialize the enforcer.
e, _ := casbin.NewEnforcer("examples/rbac_model.conf", "examples/rbac_policy.csv")// Set the watcher for the enforcer.
e.SetWatcher(w)

前端使用

在 auto模型下, 前端Casbin.js库可以使用后端提供的接口, 自动同步权限相关定义,从而保持一致
https://casbin.org/docs/frontend#advanced-usage

后端返回 CasbinJsGetUserPermission接口的数据, 文档说只有golang支持CasbinJsGetUserPermission, 但实际上python也已经支持, 其他语言未调查

管理平台casdoor

可以提供可视化界面集中管理所有的模型、策略、角色、用户等
https://casdoor.org/zh/docs/permission/permission-configuration

其他

源码: https://github.com/casdoor/casdoor
可编辑demo: https://demo.casdoor.com/
获取模型文件接口:https://demo.casdoor.com/swagger/#/Model%20API/ApiController.GetModel

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/687284.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

FlashMeeting(基于FFmpeg+openCV)视频语音通讯系统

Web端体验地址:https://download.csdn.net/download/XiBuQiuChong/88805337 客户端下载地址:https://download.csdn.net/download/XiBuQiuChong/88805337 FlashMeeting(基于FFmpegopenCV)是一整套先进的以FFmpegopenCV技术为基础的视频语音通讯系统。利…

ArcGIS学习(八)基于GIS平台的控规编制办法

ArcGIS学习(八)基于GIS平台的控规编制办法 上一任务我们学习了”如何进行图片数据的矢量化?" 这一关我们来学习一个比较简单的案例一一”如何在ArcGIS中录入控规指标,绘制控规图纸?" 首先,先来看看这个案例的分析思路以及导入CAD格式的控规图纸。 接着,来看…

Node.js开发-会话控制

会话控制 1) 介绍2) cookie3) session4) session 和 cookie 的区别5) token 1) 介绍 所谓会话控制就是 对会话进行控制 HTTP 是一种无状态的协议,它没有办法区分多次的请求是否来自于同一个客户端, 无法区分用户 而产品中又大量存在的这样的需求&…

Eclipse - Expressions Add Watch Expression

Eclipse - Expressions & Add Watch Expression References Window -> Show View -> Other… Show View -> Debug -> Expressions -> Open Debug 模式下出现 Expressions 窗口 Debug 模式下,如果需要查看指定变量或者返回函数的值,直…

19.Qt 组合框的实现和应用

目录 前言: 技能: 内容: 1. 界面 2.槽 3.样式表 参考: 前言: 学习QCombox控件的使用 技能: 简单实现组合框效果 内容: 1. 界面 在ui编辑界面找到input widget里面的comboBox&#xff…

源支付V7最新V2.8.6文明版

源支付V7最新V2.8.6文明版 本版不需要授权码 注:开发不易,仅限交流学习使用,如商业使用,请支持正版! 轻量化的界面UI,提供更加便捷的操作体验,让您的系统一目了然 推荐支付宝当面付-免CK-商家版,微信推荐…

Python实用代码之:如何找两个数的最大公因数?

文章目录 前言1.简单版2.函数封装版 前言 大家好,我是BoBo仔吖,欢迎来看我的文章!这节课,我教大家如何用两种方法输出最大公因数——简单版以及函数版 1.简单版 a int(input(Enter a number:)) b int(input(Enter a number:)…

利用python解决猴子吃桃问题

1 问题 如何运用python程序解决有趣的猴子吃桃数学问题 问题:猴子第一天摘下若干个桃子,当即吃了一半,还不过瘾,又多吃了一个第二天早上又将剩下的桃子吃掉一半,又多吃了一个。以后每天早上都吃了前一天剩下的一半零一…

书生浦语-模型微调

大语言模型微调 指令微调的流程 LoRA(旁路分支微调) Xtuner微调框架 微调训练 作业 微调作业需要多训练几个epoch,这里训练了16个epoch

Google Gemini 1.5:引领跨模态AIGC信息分析理解与视频内容推理的新篇章,与 Open AI 决一高下!

Gemini 1.5具有100万token的上下文理解能力,是目前最强!具有跨模态理解和推理:能够对文本、代码、图像、音频和视频进行高度复杂的理解和推理。允许分析1小时视频、11小时音频、超过30,000行代码或超过700,000字的文本。不过谷歌这个Gemini 1…

力扣热题100_滑动窗口_438_找到字符串中所有字母异位词

文章目录 题目链接解题思路解题代码 题目链接 438. 找到字符串中所有字母异位词 给定两个字符串 s 和 p,找到 s 中所有 p 的 异位词 的子串,返回这些子串的起始索引。不考虑答案输出的顺序。 异位词 指由相同字母重排列形成的字符串(包括相…

Codeforces Round 926 (Div. 2)(A B C)

比赛:Codeforces Round 926 (Div. 2) 目录:A B C A题 题目:Sasha and the Beautiful Array 标签: 构造(constructive algorithms)贪心(greedy)排序(sortings) 题目大…

Puppeteer 使用实战:如何将自己的 CSDN 专栏文章导出并用于 Hexo 博客(一)

文章目录 效果展示说明利用工具整体思路Puppeteer 使用笔记保持登录状态打开新的页面点击 dialog跳转页面设置页面可见窗口大小寻找元素等待元素出现 整体代码 效果展示 说明 看了看网上很少做这个功能,但是我有这个需求,就抽出时间写了个简单的工具目前…

(十一)Java 之 String 类

目录 一. 前言 二. String 类 2.1. 创建字符串 2.2. 字符串长度 2.3. 连接字符串 2.4. 创建格式化字符串 2.5. String 常用方法 三. 课后习题 一. 前言 在 Java 中,String 类是一种符合面向对象思想的字符串类,String 类是用于表示字符串的类。它…

ChatGPT的底层核心概念

ChatGPT的底层核心概念 1.1 词嵌入 ​ 词嵌入是一种将单词或文本转换为数字向量的技术。简单来说,它将自然语言中的词汇转换为计算机可以理解的形式,因为计算机无法直接理解单词或文本。例如,对于句子“The monkey is on the horse"&a…

React中hooks使用限制及保存函数组件状态

React Hooks 的限制主要有两条: 不要在循环、条件或嵌套函数中调用 Hook; 在 React 的函数组件中调用 Hook。 首先,Hooks是一个对象,大致结构如下: const hook: Hook {memoizedState: null,baseState: null,baseQ…

面试题之项目做过哪些性能优化可以从哪方面说?

常见的性能优化措施: 1. 减少 HTTP 请求数:合并和压缩 CSS、JavaScript ⽂件,使⽤雪碧图、字体图标等减少图片请求,减少不必要的资源请求。 2. 减少 DNS 查询:减少使用不同的域名,以减少 DNS 查询次数。…

19-k8s的附加组件-coreDNS组件

一、概念 coreDNS组件:就是将svc资源的名称解析成ClusterIP; kubeadm部署的k8s集群自带coreDNS组件,二进制部署需要自己手动部署; [rootk8s231 ~]# kubectl get pods -o wide -A k8s系统中安装了coreDNS组件后,会有一个…

ubuntu20.04.6wifi图标消失问题解决方案

介绍 本人电脑 惠普战99 2023版 集显版 双系统:win11 ubuntu 20.04.6LTS 安装ubuntu系统后WiFi图标无法显示,四处寻找方法,得以解决 注意 本人亲测有效,但不保证所有机型适用 方法 下载firmware: 链接: https:…

【算法题】108. 将有序数组转换为二叉搜索树

题目 给你一个整数数组 nums ,其中元素已经按 升序 排列,请你将其转换为一棵 高度平衡 二叉搜索树。 高度平衡 二叉树是一棵满足「每个节点的左右两个子树的高度差的绝对值不超过 1 」的二叉树。 示例 1: 输入:nums [-10,-3,0…