Casbin鉴权是真的方便.
NIST标准包含的4级RBAC模型
RBAC0(Core RBAC):基本模型有三个元素:用户、角色和权限。模型设计基于“多对多”原则,即多个用户可以具有相同的角色,一个用户可以具有多个角色。同样,可以将同一权限分配给多个角色,也可以将同一角色分配给多个权限。
1.Casbin PERM模型
Policy 策略 p = {sub(访问实体) , obj(访问的资源) , act(访问方法) , eft(策略结果 默认为allow 还可以自己指定为deny)}
Matchers 匹配规则 Request 和 Policy的匹配规则
m = r.sub == p.sub && r.act == p.act && r.obj == p.obj //r请求 p策略
这时会把r和p按照上述描述进行匹配 从而返回匹配结果(eft) . 如果不定义 会返回allow .
Effect影响
e = some(where(p.eft == allow)) 这种情况下 我们的一个matchers匹配完成 , 得到了allow那么这条请求将被放行. e = some(where(p.eft == allow)) && !some(where(p.eft == deny))
Request 请求
r = {sub , obj , act}
2. 角色域 role_definition
g = _ , _ 表示以角色为基础 g = _ , _ , _ 表示以域为基础(多商户模式)
RBAC:
Matcher 匹配规则
m = g(r.sub , p.sub) && r.act == p.act && r.obj == p.obj //r请求 p策略
让r.sub 和 p.sub 权限通用
3.Casbin集成Gorm
Casbin集成Gorm,使用MySQL数据库存储策略.
type CasbinMethod struct {
Enforcer *casbin.Enforcer
Adapter *gormadapter.Adapter
}
var Casbin *CasbinMethod
// InitCasbinGorm 初始化Casbin Gorm适配器
func InitCasbinGorm(db *gorm.DB) (*CasbinMethod, error) {
//创建 Gorm适配器
a, err := gormadapter.NewAdapterByDB(db)
if err != nil {
return nil, err
}
// 创建 Casbin Enforcer , 指定自定义的model文件
enforcer, err := casbin.NewEnforcer("./conf/casbin.conf", a)
if err != nil {
return nil, err
}
Casbin = &CasbinMethod{
Enforcer: enforcer,
Adapter: a,
}
return Casbin, nil
}
4.封装鉴权中间件
import (
"crawler/utils"
"net/http"
"strconv"
"github.com/gin-gonic/gin"
"go.uber.org/zap"
)
func AuthMiddlewareCasbin(srv *utils.CasbinMethod) gin.HandlerFunc {
return func(context *gin.Context) {
err := srv.Enforcer.LoadPolicy()
if err != nil {
zap.L().Error("srv.Enforcer.LoadPolicy() is failed", zap.Error(err))
context.Abort()
}
//获取当前登录用户的信息
currentUser := getCurrentUser(context)
//获取请求路径 , 方法
requestPath := context.Request.URL.Path
requestMethod := context.Request.Method
//检查权限
ok, err := srv.Enforcer.Enforce(currentUser, requestPath, requestMethod)
if ok {
//用户存在权限 , 继续处理请求
context.Next()
} else {
context.AbortWithStatus(http.StatusForbidden)
}
}
}
func getCurrentUser(context *gin.Context) string {
userInformation, _ := context.Get(UserInformation)
roleCode := userInformation.(utils.UserClaims).IsBoss
//从会话或其它方式获取当前用户信息
return strconv.Itoa(int(roleCode))
}