ps做网站图片水印,爱站网关键词查询工具,北京发布重磅消息,企业信用信息公示系统查询官网Casbin Casbin模型基础#xff08;PERM#xff09;Policy定义Request定义MatchersEffect ACL模型RBAC模型Go语言实战使用前先下载casbin包新建一个Casbin enforcer判断是否能通过增加Policy删除Policy更新Policy获取Policy Casbin
权限管理在几乎每个系统中都是必备的模块。… Casbin Casbin模型基础PERMPolicy定义Request定义MatchersEffect ACL模型RBAC模型Go语言实战使用前先下载casbin包新建一个Casbin enforcer判断是否能通过增加Policy删除Policy更新Policy获取Policy Casbin
权限管理在几乎每个系统中都是必备的模块。如果项目开发每次都要实现一次权限管理无疑会浪费开发时间增加开发成本。
Casbin是一个强大和高效的开放源码访问控制库它支持各种访问控制模型以强制全面执行授权。
官网地址https://casbin.org/zh/
模型基础PERM
在Casbin中访问控制模型被抽象为基于PERMPolicyEffectRequestMatcher的一个配置文件。切换或升级项目的授权机制就像修改配置一样简单。我们可以通过组合可用的模型来定制我们自己的访问控制模型。
在了解PERM模型之前我们首先了解一下它的几个参数 subjectsub 访问实体想要访问资源的用户objectobj访问的资源将被访问的资源actionact访问方法用户对资源执行的操作eft策略结果一般为空默认指定allow 这几个参数都是组合到一起使用
eg r sub, obj, act p,0,user/get/info,GET //策略表示sub为0的用户想要访问obj为user/get/info的资源且资源的访问方法为GET方法。 如果用户所对应的request与上面policy对应的话eft策略结果就会放回true放行 接下来我们看一下具体的PERM模型
Policy定义
Policy 就是一种定义它界定了策略的含义。
p{subobjacteft}
[policy_definition] //定义
p sub, obj, act
p2 sub, actp, alice, data1, read
p2, bob, write-all-objects(alice, data1, read) - (p.sub, p.obj, p.act)
(bob, write-all-objects) - (p2.sub, p2.act)策略有两种存储方式
policy.csv 存储到数据库中 策略一般会存储到数据库因为会有很多策略
Request定义
eg r subobjact 在本例中sub、obj和act代表经典的访问三元组:主题(访问实体)、对象(访问资源)和操作(访问方法)。但是我们也可以自定义自己的请求格式。例如如果不需要指定特定的资源可以使用sub, act;如果有两个访问实体可以使用sub, sub2, obj, act。
Matchers
Matchers 匹配规则 Request和Policy的匹配规则 m r.sub p.subr.actp.actr.obj p.obj Request请求过来与Policy中策略通过Matchers中的规则进行匹配从而返回匹配结果eft如果匹配成功会默认返回allow 我们也可以自定义返回结果如果定义过了就会返回我们定义过的那个结果。
Effect
Effect是对policy生效范围的定义它决定我们是否可以放行。
eg e some(where(p.eft allow)) //这种情况下 我们的一个matchers匹配完成 得到了allow 那么这条请求将被放行 e some(where (p.eft allow)) !some(where (p.eft deny)) //这意味着必须至少有一个匹配的策略规则为允许而不能有任何匹配的策略规则为拒绝。因此以这种方式支持允许和拒绝授权并且拒绝覆盖。 Casbin官方对Effect的规则是规定好的一共有5种。
ACL模型 简单的ACL模型就是我们刚刚提到的那几种参数组成的模型用户请求Request之后会按照Model中的matchers去跟Policy匹配如果匹配成功默认返回allow不成功就是deny然后再去Model中的policy_effect看本次权限校验是否返回true。
RBAC模型
Casbin支持RBAC系统的多个实例用户可以拥有角色和它们的继承关系资源也可以拥有角色和它们的继承关系。这两个RBAC系统不会相互干扰。 可以看到RBAC模型比ACL模型多了一个role_definition role_definition g _ , _ //第一个参数是用户名第二个参数就是该用户名所对应的身份。 RBAC模型执行流程为
用户请求Request之后会按照Model中的matchers去跟Policy中的g先匹配匹配成功得到该用户的身份然后再去g中匹配如果匹配成功默认返回allow不成功就是deny然后再去Model中的policy_effect看本次权限校验是否返回true。
上图例子 根据Model中matchers将request与policy进行匹配alice匹配到Policy中g,alice,data2_adminPolicy中p的sub是data2_admin有两个 data2_admin,data2,read data2_admin,data2,write 最后根据matchers得到的匹配结果是p,data2_admin,data2,read Go语言实战
使用前先下载casbin包
go get github.com/casbin/casbin/v2新建一个Casbin enforcer
Casbin使用配置文件定义访问控制模型。 有两个配置文件:model.conf和policy.csv。model.conf存储访问模型policy.csv存储具体的用户权限配置。
e, err : casbin.NewEnforcer(path/to/model.conf, path/to/policy.csv)其中存储具体的用户权限配置我们也可以使用数据库来存储
a, _ : gormadapter.NewAdapter(mysql, root:123456tcp(127.0.0.1:3306)/user, true) // /user代表使用哪个数据库true代表如果没有这个数据库就新建默认为false
e, err : casbin.NewEnforcer(./model.conf, a)判断是否能通过
判断“主题”是否能够用“动作”操作访问“对象”输入参数通常是subobjact。
sub : alice // 想要访问资源的用户。
obj : data1 // 将被访问的资源。
act : read // 用户对资源执行的操作。ok, err : e.Enforce(sub, obj, act)if err ! nil {fmt.Printf(%s, err)
}if ok true {fmt.Println(通过)} else {fmt.Println(未通过)
}增加Policy
AddPolicy 向当前策略添加授权规则。 如果规则已经存在函数返回false并且不会添加规则。 否则函数通过添加新规则并返回true。
//增加单个
add, err : e.AddPolicy(alice, data1, read)
//批量增加
rules : [][] string {[]string {jack, data4, read},[]string {katy, data4, write},[]string {leyo, data4, read},[]string {ham, data4, write},
}areRulesAdded : e.AddPolicies(rules)删除Policy
RemovePolicy 从当前策略中删除授权规则。
//删除单个
removed : e.RemovePolicy(alice, data1, read)
//批量删除
rules : [][] string {[]string {jack, data4, read},[]string {katy, data4, write},[]string {leyo, data4, read},[]string {ham, data4, write},
}areRulesRemoved : e.RemovePolicies(rules)更新Policy
UpdatePolicy 把旧的政策更新到新的政策
//单个更新
updated, err : e.UpdatePolicy([]string{eve, data3, read}, []string{eve, data3, write})
//批量更新
updated, err : e.UpdatePolicies(
[][]string{
{eve, data3, read},
{jack, data3, read}},
[][]string{
{eve, data3, write},
{jack, data3, write}})获取Policy
//GetPolicy 获取策略中的所有授权规则。
policy e.GetPolicy()
//GetFilteredPolicy 获取策略中的所有授权规则可以指定字段筛选器。
filteredPolicy : e.GetFilteredPolicy(0, alice)
//GetNamedPolicy 获取命名策略中的所有授权规则。
namedPolicy : e.GetNamedPolicy(p)
//GetFilteredNamedPolicy 获取命名策略中的所有授权规则可以指定字段过滤器。
filteredNamedPolicy e.GetFilteredNamedPolicy(p, 0, bob)
