Go Gin Gorm Casbin权限管理实现 - 1. Casbin概念介绍以及库使用

已于 2023-10-07 11:01:23 修改
阅读量1.4k 收藏 3
点赞数 3
文章标签: golang gin 开发语言
于 2023-10-06 14:04:38 首次发布
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/LeoForBest/article/details/133607878
版权

文章目录

0. 背景

Casbin是用于Golang项目的功能强大且高效的开源访问控制库。
强大通用也意味着概念和配置较多,具体到实际应用(以Gin Web框架开发)需要解决以下问题:

  • 权限配置的存储,以及增删改查
  • Gin框架的中间件如何实现

经过一番摸索实践出经验,计划分为三个章节,循序渐进的介绍使用方法
1. Casbin概念介绍以及库使用
2. 使用Gorm存储Casbin权限配置以及增删改查
3.实现Gin鉴权中间件

代码地址 https://gitee.com/leobest2/gin-casbin-example

1. 核心概念

核心配置中含两部分模型配置以及策略配置,给出两个示范配置,在此基础上对实际请求进行分析。

1.1 Model

模型文件,存储了请求定义(request_definition),策略定义(policy_definition),匹配规则(matchers),以及匹配的综合结果(policy_effect)

[request_definition]
r = sub, obj, act

[policy_definition]
p = sub, obj, act

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

1.2 Policy

以下为示策略文件policy.csv含有两条策略,策略除了存储在文件中,还可以保存到数据库,后续中我们用到GORM Adapter,保存到数据库中

p,leo,/api/user,GET
p,leo,/api/user,POST

1.3 实例分析

以用户leo通过GET方法访问后台API:/api/user为例

根据request_definition对应request中三个参数为
matchers根据条件匹配策略,不匹配的忽略
matchers根据条件匹配策略,不匹配的忽略
matchers根据条件匹配策略,不匹配的忽略
policy_effect计算影响,some(where (p.eft == allow))表示其中一条匹配即通过
用户`leo`通过`GET`方法访问`/api/user`
(leo, /api/user, GET)->(r.sub, r.obj, r.act)
匹配策略1
匹配策略2
匹配策略....
返回最终结果通过或者拒绝

1.3 ACL模型和RBAC模型

Casbin模型比较多,只需理解以下两种模型,基本能满足绝大部分业务需求

1.3.1 ACL模型

简单理解,如上面model.conf中不包含用户角色组,策略中都是针对单个用户,用户的请求和动作直接匹配策略,并计算结果

1.3.2 RBAC模型

简单理解,用户关联到角色组,策略定义中针对组做策略

后续gin casbin鉴权中选用该模型
后续示例中model.conf

[request_definition]
r = sub, obj, act

[policy_definition]
p = sub, obj, act

[role_definition]
g = _, _

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act

后续示例中policy.csv

定义了两条策略,admin组能访问的资源以及操作,以及用户leo属于admin

p,admin,/api/user,GET
p,admin,/api/user,POST

g,leo,admin

2. 库使用

2.1 Enforcer 执行器概念

Casbin 库中核心概念为执行器Enforcer
使用casbin.NewEnforcer("./model.conf", "./policy.csv")加载模型策略
调用Enforcer的Enforce(r.sub, r.obj, r.act)方法检查鉴权结果

package main

import (
	"fmt"

	"github.com/casbin/casbin/v2"
)

func CheckPermission(e *casbin.Enforcer, sub, obj, act string) {
	ok, err := e.Enforce(sub, obj, act)
	if err != nil {
		panic("check enforce error: " + err.Error())
	}
	if ok {
		fmt.Printf("用户: %s 访问资源: %s 使用方法: %s 检查通过\n", sub, obj, act)
	} else {
		fmt.Printf("用户: %s 访问资源: %s 使用方法: %s 检查拒绝\n", sub, obj, act)
	}
}

func main() {
	enforcer, err := casbin.NewEnforcer("./model.conf", "./policy.csv")
	if err != nil {
		panic("new enforcer error: " + err.Error())
	}

	// 预期输出:
	// 用户: leo 访问资源: /api/user 使用方法: GET 检查通过
	CheckPermission(enforcer, "leo", "/api/user", "GET")
	// 预期输出:
	// 用户: leo 访问资源: /api/user 使用方法: DELETE 检查拒绝
	CheckPermission(enforcer, "leo", "/api/user", "DELETE")
}

2.2 adapter 适配器概念

casbin.NewEnforcer(“./model.conf”, “./policy.csv”)中默认从文件加载,是内置的名为File Adapter (内置)实现的
后续中,我们需将权限存储到DB中,使用的适配器为GORM Adapter,使用如下:

package main

import (
	"log"

	"github.com/casbin/casbin/v2"
	gormadapter "github.com/casbin/gorm-adapter/v3"
	"github.com/glebarez/sqlite"
	"gorm.io/gorm"
)

func main() {
	db, err := gorm.Open(sqlite.Open("test.db"), &gorm.Config{})
	if err != nil {
		panic("failed to connect database")
	}

	a, err := gormadapter.NewAdapterByDB(db)
	if err != nil {
		panic("new gorm adapter error: " + err.Error())
	}

	e, err := casbin.NewEnforcer("./model.conf", a)
	if err != nil {
		panic("new casbin enforcer error: " + err.Error())
	}

	e.LoadPolicy()
	// 添加策略
	ok, err := e.AddPolicy("admin", "/api/user", "GET")
	log.Println("add admin /api/user GET: ", ok, err)
	ok, err = e.AddGroupingPolicy("leo", "admin")
	log.Println("add leo to admin group: ", ok, err)
	e.SavePolicy()

	ok, err = e.Enforce("leo", "/api/user", "GET")
	log.Println("leo GET /api/user :", ok, err)
	ok, err = e.Enforce("leo", "/api/user", "DELETE")
	log.Println("leo DELETE /api/user :", ok, err)
}

测试结果

2.3 Functions(Matchers中的函数)

上述model.conf中有一个问题,访问的url是/api/user/123形式,r.objp.obj不匹配,这时候我们要用到Matchers中的函数,一般选择keyMatch2即可能针对url,能满足日常需求
修改后的model.conf

[request_definition]
r = sub, obj, act
		
[policy_definition]
p = sub, obj, act
		
[role_definition]
g = _, _
		
[policy_effect]
e = some(where (p.eft == allow))
		
[matchers]
m = g(r.sub, p.sub) && keyMatch2(r.obj,p.obj) && r.act == p.act

更多函数参考,https://casbin.org/zh/docs/function

函数url模式
keyMatch一个URL 路径,例如/alice_data/resource1一个URL 路径或*模式下,例如/alice_data/*
keyMatch2一个URL 路径,例如/alice_data/resource1一个URL 路径或:模式下,例如/alice_data/:resource
keyMatch3一个URL 路径,例如/alice_data/resource1一个URL 路径或{}模式下,例如/alice_data/{resource}
keyMatch4一个URL 路径,例如/alice_data/resource1一个URL 路径或{}模式下,例如/alice_data//{id}/book/{id}
keyMatch5a URL path like/alice_data/123/?status=1a URL path, a{}or*pattern like/alice_data/{id}/*
regexMatch任意字符串正则表达式模式

3. 结语

至此,已了解的概念已能满足业务需求,下一章将CasbinGorm结合起来,并实现增删改查功能

LeoForBest
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
gin + gorm + jwt + casbin组合实现的RBAC权限管理脚手架Golang-gin-web.zip
11-06
gin + gorm + jwt + casbin组合实现的RBAC权限管理脚手架Golang-gin-web
gin-web:由gin + gorm + jwt + casbin组合实现的RBAC权限管理脚手架Golang版, 搭建完成即可快速、高效投入业务开发
04-30
Gin Web 由gin + gorm + jwt + casbin组合实现的RBAC权限管理脚手架Golang版, 搭建完成即可快速、高效投入业务开发 特性 RESTful API 设计规范 Gin 一款高效的golang web框架 MySQL 数据存储 Jwt 用户认证, 登入登出一键搞定 Casbin 基于角色的访问控制模型(RBAC) Gorm 数据ORM管理框架, 可自行扩展多种数据类型(主分支已支持gorm 2.0) Validator 请求参数校验, 版本V9 Lumberjack 日志切割工具, 高效分离大日志文件, 按日期保存文件 Viper 配置管理工具, 支持多种配置文件类型 Packr 文件打包工具, 轻松将静态文件打包到编译后的二进制应用中 GoFunk 常用工具包, 某些方法无需重复造轮子 Workflow 工作流程管理(由于golang工作流相关轮子很
【RBAC鉴权】node-casbin基础教程
最新发布
IT飞牛
05-02 999
RBAC鉴权,完整的英文描述是:Role-Based Access Control,中文意思是:基于角色(Role)的访问控制。这是一种广泛应用于计算机系统和网络安全领域的访问控制模型。简单来说,就是通过将权限分配给➡角色,再将角色分配给➡用户,来实现对系统资源的访问控制。一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。
gin-admin:基于Gin + Gorm + Casbin + Wire的RBAC脚手架
04-29
Gin Admin 基于 GIN + GORM + CASBIN + WIRE 实现的RBAC权限管理脚手架,目的是提供一套轻量的中后台开发框架,方便、快速的完成业务需求的开发。 特性 遵循 RESTful API 设计规范 & 基于接口的编程规范 基于 GIN 框架,提供了丰富的中间件支持(JWTAuth、CORS、RequestLogger、RequestRateLimiter、TraceID、CasbinEnforce、Recover、GZIP) 基于 Casbin 的 RBAC 访问控制模型 -- 权限控制可以细粒度到按钮 & 接口 基于 Gorm 的数据存储 基于 WIRE 的依赖注入 -- 依赖注入本身的作用是解决了各个模块间层级依赖繁琐的初始化过程 基于 Logrus & Context 实现了日志输出,通过结合 Context 实现了统一的 TraceID/UserID
Go Casbin 入门
qq_21047625的博客
06-26 676
Go Casbin 是一个非常强大和灵活的访问控制框架,它可以帮助您轻松实现各种访问控制模型。在本文中,我们Go Casbin 的一些基本概念和用法,希望对您有所帮助。如果您想深入了解 Go Casbin,请访问 Casbin 的官方网站或查看其文档。
gin-rbac:用于Gin Web框架的基于角色的访问控制(RBAC)中间件
05-11
银杏 gin-rbac是框架的基于角色的访问控制(RBAC)中间件,用于过滤未经授权的REST API访问。 术语和概念 资源资源 每个资源都是一个API端点。 (例如:/ api / products /:id) 手术 GET / PUT / DELETE / POST 允许 允许对特定资源进行操作。 用户 表示对受保护资源的请求的身份。 角色 动态角色:每个人(适用于所有用户),$ authenticated(已认证的用户)。 静态角色:例如admin(为管理员定义的角色),经理等。 用户角色/角色权限分配 用户与角色相关联,角色与具有n对n映射的权限(操作资源)元组相关联。 访问控制策略 policy.json: { " /api/products " : { " GET " : [ " $authenticated " ] }, " /api/products
go语言casbin快速入门
憨憨
02-14 2819
casbin快速入门 casbin将访问控制模型抽象到一个基于 PERM(Policy,Effect,Request,Matchers) 元模型的配置文件(模型文件)中 policy是策略或者说是规则的定义。它定义了具体的规则。 request是对访问请求的抽象,它与e.Enforce()函数的参数是一一对应的 matcher匹配器会将请求与定义的每个policy一一匹配,生成多个匹配结果。 effect根据对请求运用匹配器得出的所有结果进行汇总,来决定该请求是允许还是拒绝。 下载依赖
go-casbin学习
weixin_41914013的博客
10-19 919
casbin权限这一块做的挺全面,覆盖的权限模型基本上满足日常开发使用,包括RBAC,ABAC,ACL,Restful等模型。简单学习即可上手开发。熟练掌握各种模式,和casbin的api使用,在项目中可以解决权限的大部分问题。
JAVA的对象访问定位
Linux,Java,SpringBoot,Python,Lua略知一点
10-23 236
创建对象是为了访问对象,Java程序通过栈的引用(reference)数据来操作堆上的对象。由于reference类型在Java虚拟机规范中只规定了一个指向对象的引用。并没有规定通过该引用怎么定位,访问堆中的对象。具体需要看虚拟机的实现。 两种访问方式: 句柄访问 直接访问 句柄访问 Java堆中会划分一个句柄池,reference存储的就是对象的句柄地址,而句柄中存放的是对象的实例数据和类型数据的地址信息。 直接访问 Java堆对象布局就必须考虑如何存放访问类型数据的相关信息,referenc
Go语言学习笔记——访问权限控制框架casbin
qq_39280718的博客
09-07 2143
Casbin 是一个强大的、高效的开源访问控制框架,其权限管理机制支持多种访问控制模型。
gocasbin权限控制
qinshi501的博客
11-09 1466
gocasbin权限控制
管理系统系列--Gin + GORM + Casbin + vue-element-admin 实现权限管理系统(.zip
02-25
在本项目中,开发者使用GinGORMCasbin和vue-element-admin这四个关键技术构建了一个权限管理系统。下面将详细解析这些技术及其在系统中的应用。 **Gin框架** Gin是一个用Go语言编写的轻量级Web框架,它提供了...
Gin + GORM + Casbin + vue-element-admin 实现权限管理系统(golang).zip
04-01
计算机硬件系统: 计算机硬件...综上所述,计算机领域的“系统”概念广泛涉及硬件架构、软件层次、信息管理、网络通信、分布式计算以及安全保障等多个方面,它们相互交织,共同构成了现代计算机技术的复杂生态系统。
Go Gin Gorm Casbin权限管理实现 - 3. 实现Gin鉴权中间件
LeoForBest的博客
10-06 3389
Casbin是用于Golang项目的功能强大且高效的开源访问控制。 强大通用也意味着概念和配置较多,具体到实际应用(以Gin Web框架开发)需要解决以下问题: 权限配置的存储,以及增删改查 Gin框架的中间件如何实现 经过一番摸索实践出经验,计划分为三个章节,循序渐进的使用方法 Casbin概念以及使用 使用Gorm存储Casbin权限配置以及增删改查 实现Gin鉴权中间件
gin框架学习-Casbin入门指南(ACL、RBAC、域内RBAC模型)
林钟一的博客
07-13 2318
gin框架学习-Casbin入门指南(ACL、RBAC、域内RBAC模型)
GoFrame+Vue权限管理系统
weixin_50196917的博客
08-22 251
一款 Go 语言基于GoFrame、Vue、ElementUI、MySQL等框架精心打造的一款模块化、插件化、高性能的前后端分离架构敏捷开发框架,可快速搭建前后端分离后台管理系统,本着简化开发、提升开发效率的初衷,框架自研了一套个性化的组件,实现了可插拔的组件式开发方式,同时为了敏捷快速开发,框架特地集成了代码生成器,完全自主研发了自定义GO后端服务模板和前端Vue自定义模板,可以根据已建好的表结构,可以快速的一键生成整个模块的所有代码和增删改查等等功能业务,真正实现了低代码开发方式,极大的节省了人力成本的
使用GORM集成Casbin基于RBAC模型,实现鉴权
c0210g的博客
01-28 704
Casbin鉴权是真的方便.
[golang gin框架] 14.Gin 商城项目-RBAC管理
zhoupenghui168的博客
04-05 2365
Gin RBAC管理
golang、gingormcasbin访问权限控制
fggdgh的博客
06-29 1062
casbin访问权限控制
golang 项目使用gin gorm 后项目文件结构
06-13
通常,使用gingorm开发的golang项目的文件结构如下: ``` - main.go // 项目入口文件 - config // 配置文件目录 - config.go // 配置文件读取入口 - app.yaml // 应用配置文件 - db.yaml // 数据配置文件 - controllers // 控制器目录 - user_controller.go // 用户相关控制器 - ... - models // 数据模型目录 - user.go // 用户模型 - ... - repositories // 数据访问层目录 - user_repository.go // 用户相关数据访问层 - ... - services // 业务逻辑层目录 - user_service.go // 用户相关业务逻辑 - ... - routes // 路由配置目录 - route.go // 路由配置入口 - user_route.go // 用户相关路由配置 - ... - utils // 工具函数目录 - response.go // 统一响应函数 - ... ``` 其中,`main.go`是项目的入口文件,`config`目录存放应用和数据的配置文件,`controllers`目录存放所有的控制器,`models`目录存放所有的数据模型,`repositories`目录存放所有的数据访问层,`services`目录存放所有的业务逻辑层,`routes`目录存放所有的路由配置,`utils`目录存放一些通用的工具函数。当然,具体的文件结构也可以根据实际情况进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值