【Golang】 golang 访问控制框架casbin

最新推荐文章于 2025-02-19 21:15:00 发布
最新推荐文章于 2025-02-19 21:15:00 发布
阅读量1k 收藏
点赞数
分类专栏: 访问控制 harbor golang
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Not_a_penny_to_name/article/details/103950575
版权
本文介绍了Golang中的访问控制框架Casbin,详细阐述了其支持的ACL、RBAC和ABAC等多种访问控制模型。通过一个简单的ACL模式DEMO,展示了如何配置和使用Casbin。接着,文章深入到资源角色的RBAC,结合Harbor的源码解析,解释了如何实现用户权限的导入和访问控制。最后,作者分享了从Java到Golang的学习体会,强调了理解Casbin对于理解Harbor访问控制的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一。 开始

Casbin 是一个强大的、高效的开源访问控制框架,其权限管理机制支持多种访问控制模型。

  1. ACL (Access Control List, 访问控制列表)
  2. 具有超级用户 的 ACL
  3. 没有用户的 ACL: 对于没有身份验证或用户登录的系统尤其有用。
  4. 没有资源的 ACL: 某些场景可能只针对资源的类型, 而不是单个资源, 诸如 write-article , read-log 等权限。 它不控制对特定文章或日志的访问。
  5. RBAC (基于角色的访问控制)
  6. 支持资源角色的 RBAC: 用户和资源可以同时具有角色 (或组)。
  7. 支持域/租户的 RBAC: 用户可以为不同的域/租户设置不同的角色集。
  8. ABAC (基于属性的访问控制): 支持利用 resource.Owner 这种语法糖获取元素的属性。
  9. RESTful: 支持路径, 如 /res/* , /res/: id 和 HTTP 方法, 如 GET , POST , PUT , DELETE
  10. 拒绝优先: 支持允许和拒绝授权, 拒绝优先于允许。
  11. 优先级: 策略规则按照先后次序确定优先级,类似于防火墙规则。

二。 使用(最简单的 demo) ACL 模式

  1. 创建 model.conf 文件, 并写入以下内容:
# 要去请求的资源sub(subject) 请求的实体
[request_definition]
r = sub, obj, act
# 表示拥有的权限
[policy_definition]
p = sub, obj, act, eft
# policy 生效的范围  其中p.eft 表示策略规则的决策结果,可以为allow 或者deny,当不指定规则的决策结果时,取默认值allow 。
#通常情况下,policy的p.eft默认为allow
#该Effect原语表示当至少存在一个决策结果为allow的匹配规则,且不存在决策结果为deny的匹配规则时,则最终决策结果为allow。
#这时allow授权和deny授权同时存在,但是deny优先。
[policy_effect]
e = some(where (p.eft == allow))
# Matchers
# 匹配器用于上面 请求和策略的匹配
[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act
  1. 创建 model.csv 文件:
p, Archer, configuration, list, allow
  • model.conf 文件声明了 casbin 如何去进行访问控制, 你的请求参数是啥,策略是啥,如何匹配
  • model.csv 声明了用户的权限,casbin,根据该文件的内容与请求参数进行对比

main 函数:

package main

import (

	"fmt"
	"github.com/casbin/casbin"
)

var (
	conf = "C:\\Users\\Vic\\go\\src\\github.com\\Archer1A\\casbin-demo\\model.conf"
	csv = "C:\\Users\\Vic\\go\\src\\github.com\\Archer1A\\casbin-demo\\model.csv"

)
func main()  {
	e,_ :=casbin.NewEnforcer(conf,csv)
	if res,_ := e.Enforce("Archer","configuration","list");res{ // archer 是否有list configuration 权限
		fmt.Println("Archer can list configuration")
	}else {
		fmt.Println("Archer can't list configuration")
	}
	if res,_ := e.Enforce("Archer","configuration",
最低0.47元/天 解锁文章
Golang访问权限控制框架casbin
geek99_guo的博客
03-19 483
Casbin 是一个强大的、高效的开源访问控制框架,其权限管理机制支持多种访问控制模型。支持的语言也很多,例如:go、java、node.js、python等等.
Golang访问控制框架:Open Policy Agent vs Casbin
WLANQY的博客
01-10 405
大型项目中基本都包含有复杂的访问控制策略,特别是在一些多租户场景中,例如Kubernetes中就支持RBAC,ABAC等多种授权类型。在Golang中目前比较热门的访问控制框架有与,本文主要分析其异同与选型策略。
Casbin 权限管理介绍及在 Go 语言中的使用入门
最新发布
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
02-19 1774
请求定义描述了访问请求的结构。最常见的是sub:表示请求发起的主体(通常是用户或服务)。obj:表示请求要访问的对象(比如文件、API 等)。act:表示主体对对象执行的操作(比如读取、写入、删除等)。例如,表示一个请求由发起主体、操作对象和操作类型组成。策略定义描述了权限策略的结构。同样常见的结构是sub:表示策略中的主体。obj:表示策略中的对象。act:表示策略中的操作类型。策略定义与请求定义的结构保持一致,便于匹配。
golang每日一库——casbin开源的访问控制框架
e891377的专栏
08-23 1638
部分用于request的定义,它明确了函数中参数的含义。表示经典三元组: 访问实体 (Subject),访问资源 (Object) 和访问方法 (Action)。但是, 你可以自定义你自己的请求表单, 如果不需要指定特定资源,则可以这样定义sub、act,或者如果有两个访问实体, 则为。这些是我们对policy规则的具体描述policy部分的每一行称之为一个策略规则, 每条策略规则通常以形如pp2的开头。如果存在多个policy定义,那么我们会根据前文提到的与具体的某条定义匹配。TIP。
在CSDN学Golang(轻量级访问控制框架casbin
YKM_2580的博客
07-19 206
ACL(Access Control List)即访问控制列表,它是一种常见的权限控制机制,用于限制用户或进程对资源的访问。需要注意的是,以上示例只是一个简单的流量过滤实现,它并没有考虑到攻击者可能使用伪造 IP 地址等手段进行攻击。RBAC 是一种常见的权限控制机制,它通过定义角色和角色之间的关系来限制用户对资源的访问。需要注意的是,以上示例只是一个简单的 RBAC 实现,它并没有考虑到复杂的权限控制场景。需要注意的是,以上示例只是一个简单的 ABAC 实现,它并没有考虑到复杂的权限控制场景。
Go语言学习笔记——访问权限控制框架casbin
qq_39280718的博客
09-07 2500
Casbin 是一个强大的、高效的开源访问控制框架,其权限管理机制支持多种访问控制模型。
Golang最强大的访问控制框架casbin全解析
轩脉刃的刀光剑影
01-16 4543
开箱即用的访问控制框架casbin原理是啥?支持哪些权限模型?本文一一解答。本文非常长,适合边嗑瓜子边看....Casbin是一个强大的、高效的开源访问控制框架,其权限管理机制支持多种访...
casbin:授权库,支持Golang中的访问控制模型,如ACL,RBAC,ABAC
02-04
Casbin是用于Golang项目的功能强大且高效的开源访问控制库。 它为基于各种授权实施提供支持。 Casbin支持的所有语言: 准备生产 准备生产 准备生产 准备生产 准备生产 准备生产 Beta测试 准备生产 目录 支持机型 ...
[Golang学习笔记] 03 库源码文件
weixin_30621711的博客
12-28 194
库源码文件:不能被直接运行的源码文件,它仅用于存放程序实体,这些程序实体可以被其他代码使用。 代码包声明的基本规则:  1. 同目录下的源码文件的代码包声明语句要一致。也就是说,它们要同属于一个代码包(package)。这对于所有源码文件都是适用的。如果目录中有命令源码文件,那么其他种类的源码文件也应该声明属于main包。这也是能够成功构建运行它们的前提。  2. 源码文件声明的代码包的名称可以...
go语言casbin快速入门
憨憨
02-14 2974
casbin快速入门 casbin访问控制模型抽象到一个基于 PERM(Policy,Effect,Request,Matchers) 元模型的配置文件(模型文件)中 policy是策略或者说是规则的定义。它定义了具体的规则。 request是对访问请求的抽象,它与e.Enforce()函数的参数是一一对应的 matcher匹配器会将请求与定义的每个policy一一匹配,生成多个匹配结果。 effect根据对请求运用匹配器得出的所有结果进行汇总,来决定该请求是允许还是拒绝。 下载依赖
Roles - 一个用于Golang的权限控制库
gitblog_00793的博客
01-11 336
Roles - 一个用于Golang的权限控制库 roles Roles is an authorization library for Golang 项目地址: https://gitcode.com/gh_mirrors/ro...
Golangcasbin权限管理的实现
12-16
1. 权限管理 Casbin是用于Golang项目的功能强大且高效的开源访问控制库。 1.1.1. 特征 Casbin的作用: 以经典{subject, object, action}形式或您定义的自定义形式实施策略,同时支持允许和拒绝授权。 处理访问控制模型及其策略的存储。 管理角色用户映射和角色角色映射(RBAC中的角色层次结构)。 支持内置的超级用户,例如root或administrator。超级用户可以在没有显式权限的情况下执行任何操作。 多个内置运算符支持规则匹配。例如,keyMatch可以将资源键映射/foo/bar到模式/foo*。 Casbin不执行的操作: 身份验证(又名验证
Casbin权限模型
热门推荐
lk2684753的博客
08-16 2万+
权限框架casbin 1.概述 Casbin是一个强大的、高效的开源访问控制框架,其权限管理机制支持多种访问控制模型。 Casbin支持以下编程语言: Casbin可以做到: 支持自定义请求的格式,默认的请求格式为{subject, object, action}。 具有访问控制模型model和策略policy两个核心概念。 支持RBAC中的多层角色继承,不止主体可以有角色,资源也可以具...
ACLatraz: 基于Golang的自动化权限管理框架
gitblog_00003的博客
03-13 555
ACLatraz: 基于Golang的自动化权限管理框架 aclatrazFlexible access control mechanism!项目地址:https://gitcode.com/gh_mirrors/ac/aclatraz ACLatraz是一个基于Golang编写的自动化权限管理框架。它能够帮助开发者轻松地实现对应用程序中的资源及其访问控制进行管理。 项目简介 ACLatraz的...
使用casbin开发rbac模型的golang权限控制模块功能
程序员记事本
06-18 9592
背景交代 RBAC数据库表结构模型如下图: 很简单的一个数据库模型,系统资源表存储系统功能url及名称等信息,角色与用户是多对多,即一个用户可以有多种角色,角色与资源表多对多,即多个角色中每一种可操作的系统资源可以各不相同。 casbin casbin有针对数据库的adapter,它自己也能读取数据库内容,但是没细研究是否需要建立适配casbin的那一套结构,毕竟大家对rbac模型太熟...
Go 每日一库之 casbin
darjun的博客
06-15 705
简介权限管理在几乎每个系统中都是必备的模块。如果项目开发每次都要实现一次权限管理,无疑会浪费开发时间,增加开发成本。因此,casbin库出现了。casbin是一个强大、高效的访问控制库。...
Golang Casbin库 执行授权&权限控制 学习笔记
weixin_54083160的博客
06-05 808
subject (sub访问实体),object(obj访问的资源)和action(act访问方法) eft(策略结果 一般为空 默认指定 allow)
Go语言中的访问权限控制
MxTransforms的博客
09-20 434
通过适当地设置标识符的命名规则和大小写,我们可以在Go语言中实现访问权限控制。通过导出的标识符,我们可以使其可被其他包访问,而非导出的标识符则只能在当前包内部使用。在Go语言中,标识符(如变量、函数、结构体和方法的名称)以大写字母开头的被导出,可以被其他包访问;在Go语言中,我们可以使用访问权限来限制对程序中的变量、函数、结构体和方法的访问。这些方法返回结构体中的字段值,但由于它们的首字母是小写的,因此只能在当前包内部访问。接下来,我们将创建一个非导出的实体,即只能在当前包内部使用的实体。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值