如何在项目中加入casbin进行简单的权限验证

最新推荐文章于 2024-09-19 09:27:23 发布
最新推荐文章于 2024-09-19 09:27:23 发布
阅读量597 收藏 6
点赞数 6
文章标签: golang 安全 后端 gin
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c1487981308/article/details/136601081
版权

前言

casbin是目前流行的身份鉴定工具之一,笔者在近期写的一个项目中也使用到了casbin对于项目的权限进行鉴定,于是在此分享一下笔者是如何使用casbin进行权限判定的。

注意:以下权限验证方式以golang gin gorm为例

安装

安装casbin直接以官网示例进行即可,在此给出官网网址:https://casbin.org/docs/get-started

如果需要将策略存储至数据库,则可以使用对应的Adapter,在此给出Adapter官网网址:https://casbin.org/docs/adapters

如笔者使用的是go+Gorm,选择对应的Adapter即可

在这里插入图片描述

模型选择

因为要进行权限验证以及动态修改用户权限,在此选择casbin的RBAC模型,具体配置文件如下

[request_definition]
r = sub, obj, act

[policy_definition]
p = sub, obj, act, eft

[role_definition]
g = _, _

[policy_effect]
e = some(where (p.eft == allow)) && !some(where (p.eft == deny))

[matchers]
m = g(r.sub, p.sub) && keyMatch(r.act, p.act) && keyMatch(r.obj, p.obj)

其中keyMatch()为官方提供的函数,具体匹配方法如下

func KeyMatch(key1 string, key2 string) bool {
    i := strings.Index(key2, "*")
    if i == -1 {
        return key1 == key2
    }

    if len(key1) > i {
        return key1[:i] == key2[:i]
    }
    return key1 == key2[:i]
}

初始化配置

初始化casbin可以参考官方示例:https://casbin.org/zh/docs/get-started

在此给出个人初始化方法

casbin.go

package auth

import (
	"os"

	"github.com/casbin/casbin/v2"
	"github.com/casbin/casbin/v2/model"
	gormadapter "github.com/casbin/gorm-adapter/v3"
)

var Casbin *casbin.Enforcer

func InitCasbin() {
    // os.Getenv("MYSQL_DSN")可以参考gorm官方示例:
    //user:pass@tcp(127.0.0.1:3306)/dbname?charset=utf8mb4&parseTime=True&loc=Local
	a, err := gormadapter.NewAdapter("mysql", os.Getenv("MYSQL_DSN"), true)
	if err != nil {
		panic(err)
	}

	m, err := model.NewModelFromString(`
	[request_definition]
	r = sub, obj, act
	
	[policy_definition]
	p = sub, obj, act, eft
	
	[role_definition]
	g = _, _
	
	[policy_effect]
	e = some(where (p.eft == allow)) && !some(where (p.eft == deny))
	
	[matchers]
	m = g(r.sub, p.sub) && keyMatch(r.act, p.act) && keyMatch(r.obj, p.obj)
	`)
	if err != nil {
		panic(err)
	}

	e, err := casbin.NewEnforcer(m, a)
	if err != nil {
		panic(err)
	}
	Casbin = e

	Casbin.LoadPolicy()

    // 检查基础权限是否存在,请按需修改
	if ok, _ := Casbin.Enforce("common_admin", "admin/user", "POST"); !ok {
		initPolicy()
	}
}

初始化基础策略,在此给出个人写法,可以自行调整

initPolicy

func initPolicy() {
	// add base policies
    // 注意,此处一定要填写allow或deny,否则会报错
	Casbin.AddPolicies(
		[][]string{
            //  写入对应权限,请自行调整
			// suspend user can't do anything
			{model.StatusSuspendUser, "*", "*", "deny"},
			// inactive user can't create
			{model.StatusInactiveUser, "user*", "*", "allow"},
			{model.StatusInactiveUser, "file*", "GET", "allow"},
			{model.StatusInactiveUser, "file*", "DELETE", "allow"},
			{model.StatusInactiveUser, "filefolder*", "GET", "allow"},
			{model.StatusInactiveUser, "filefolder*", "DELETE", "allow"},
			{model.StatusInactiveUser, "filestore*", "GET", "allow"},
			{model.StatusInactiveUser, "share*", "GET", "allow"},
			{model.StatusInactiveUser, "share*", "DELETE", "allow"},
			// active user can create file, filefolder and share
			{model.StatusActiveUser, "share*", "*", "allow"},
			{model.StatusActiveUser, "file*", "*", "allow"},
			{model.StatusActiveUser, "filefolder*", "*", "allow"},
			{model.StatusActiveUser, "rank*", "GET", "allow"},
			// admin user can change user status
			{model.StatusAdmin, "admin/user*", "*", "allow"},
			{model.StatusAdmin, "admin/login*", "*", "allow"},
			// super admin can do anything
			{model.StatusSuperAdmin, "*", "*", "allow"},
		},
	)
	// add group policies
	Casbin.AddGroupingPolicies(
		[][]string{
			{model.StatusActiveUser, model.StatusInactiveUser},
			{model.StatusAdmin, model.StatusActiveUser},
		},
	)
	Casbin.SavePolicy()
}

具体名称含义

const (
	// super admin
	StatusSuperAdmin = "super_admin"
	// admin User
	StatusAdmin = "common_admin"
	// active User
	StatusActiveUser = "active"
	// inactive User
	StatusInactiveUser = "inactive"
	// Suspend User
	StatusSuspendUser = "suspend"
)

后续直接在启动服务的时候进行初始化即可

func Init() {
    //其他初始化
    ............
	// start casbin
	auth.InitCasbin()
}

中间件写法

casbin已经配置好了,接下来就是编写中间件进行权限验证,在此给出gin中间件写法

func CasbinAuth() gin.HandlerFunc {
	return func(c *gin.Context) {
        // 获取用户状态,此处已将状态写入gin.context
		userStatus := c.MustGet("Status").(string)
        // 获取用户申请的资源和方法
		method := c.Request.Method
		path := c.Request.URL.Path
        //过滤默认头部,这里将/api/v1/ 过滤
		object := strings.TrimPrefix(path, "/api/v1/")

        // 使用casbin提供的函数进行权限验证
		if ok, _ := auth.Casbin.Enforce(userStatus, object, method); !ok {
			// 如果无权限则返回无权限
            c.JSON(200, serializer.NotAuthErr("not auth"))
            // 中断后续执行
			c.Abort()
		}
	}
}

最后将中间件加入路由即可,在此给出个人使用gin框架写法

v1 := r.Group("/api/v1")
	{
		auth := v1.Group("")
		auth.Use(middleware.CasbinAuth())
		{
            // 放入需要权限验证的api
		}
	}

一个需要注意的问题

Q:如果需要动态修改权限怎么办?

A:如果想要修改用户权限,直接修改存储的用户身份即可。

如果想要添加新的权限或删除权限请使用casbin的对应函数,在此给出go的官方api

// e.AddPolicy(...)
// e.RemovePolicy(...)
// Save the policy back to DB.
e.SavePolicy()

不要在initPolicy进行修改,因为这样并不会将权限加入数据库。如果想要在initPolicy进行修改,请删除数据库中casbin自动创建的casbin_rule表。

结尾

如果有更多疑问,可以在评论区留言

陳杪秋
关注
Gin框架使用Casbin进行用户权限校验
weixin_45566022的博客
09-30 3995
以下是测试项目目录 一、配置model conf/casbin_rbac_model.conf # 请求 [request_definition] r = sub,obj,act # sub ——> 想要访问资源的用户角色(Subject)——请求实体 # obj ——> 访问的资源(Object) # act ——> 访问的方法(Action: get、post...) # 策略(.csv文件p的格式,定义的每一行为policy rule;p,p2为policy rule的名字。)
在 Apache APISIX 使用 Casbin 进行授权
ApacheAPISIX的博客
08-23 1128
当我们在使用 Apache APISIX 时,可能想要在应用里添加复杂的授权逻辑。在此篇文章,我们将使用 Apache APISIX 的内置 Casbin 插件(authz-casbin)来实现基于角色的访问控制(RBAC)模型。介绍Apache APISIXApache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、精细化路由、限流限速、服务降级、服务熔断、身份认证、可观测性等数百项功能。你可以使用 Apache APISIX 来处理传统的南北向流量,以及服
fastapi-authz:在FastAPI使用CasbinCasbin是功能强大且高效的开源访问控制库
03-04
fastapi-authz fastapi-AuthZ的是授权间件 ,它是基于 。 安装 从pip安装 pip install fastapi-authz 克隆此仓库 git clone https://github.com/pycasbin/fastapi-authz.git python setup.py install 快速开始 该间件旨在与实现AuthenticationMiddleware接口的另一个间件一起使用。 import base64 import binascii import casbin from fastapi import FastAPI from starlette . authentication import AuthenticationBackend , AuthenticationError , SimpleUser , AuthCrede
Casbin初识
我兜里有糖
09-19 442
Model就是一个配置文件,基于PERM metamodel (Policy, Effect, Request, Matchers),示例如下。Enforcer决定一个"subject"对一个"object"是否有"action"的权限。Policy是动态存储policy rules的,可以存在.csv文件或数据库,示例如下。两个角色的全部权限.
Casbin 进行权限控制验证
qq_29744347的博客
08-07 428
xie 的权限和alice一样(角色还能继承)。由于角色的继承和分配的位置是同一个,所以你很难直接看出来这是继承角色,还是分配角色。所以一般在角色前面加上Role(如:Role::admin)alice 具备data1的read(g的subject和p的subject相同,实现了在原有的角色上添加额外的权限)和data2的read&write。权限控制主要的三要素:sub(用户),obj(资源),act(操作)policy_definition:定义策略的要素。matchers:权限匹配逻辑。...
推荐一款高性能Web框架:FastAPI-MySQL-Tortoise-Casbin
gitblog_00015的博客
04-24 529
推荐一款高性能Web框架:FastAPI-MySQL-Tortoise-Casbin 项目地址:https://gitcode.com/gh_mirrors/fa/FastAPI-MySQL-Tortoise-Casbin 在Web开发领域,高效、易用且灵活的框架是开发者们的首选。今天,我要向大家推荐一个集成了多个强大库的开源项目——。此项目FastAPI、MySQL、Tortoise ORM和...
使用 Casbin 进行权限管理
li_yatao的博客
08-12 820
Casbin权限管理提供了灵活、高效的解决方案,特别适用于复杂的 RBAC 场景。通过适当的性能优化和合理的策略设计,Python 版 Casbin 也能满足大多数应用需求。
casbin基于RBAC模型实现权限管理
个人学习笔记库,一篇一篇记录成长的足迹
05-22 1937
数据表形式存储权限表,实现权限管理。
gin-vue-admin学习(后端篇)—— 4.Casbin权限管理
liangdongld的博客
08-13 3946
对于此项目权限管理。在前面阅读间件源码时候提到了这个。经过这几周的研究,逐渐理解了此项目权限管理系统。
jwt + casbin 实现rbac权限管理
10-31
4. Casbin权限验证后端使用Casbin框架进行RBAC权限验证Casbin通过配置角色和权限关系的模型文件,根据用户的角色和请求路径,判断用户是否具有访问权限。 5. 授权结果返回:Casbin根据判断结果,返回授权结果给...
[Rust][权限控制][Casbin] Rust 下成熟好用的权限控制库
Rust语言学习交流
10-25 1704
什么是Casbin-rsCasbin是基于 Go 语言的权限控制库。它支持 ACL, RBAC, ABAC 等常用的访问控制模型。Casbin-rs则是 Rust 语言下的移植, 相比...
fast-api-permission:快速API权限
03-25
快速API权限 快速API权限
springboot鉴权,前端同一个页面难免会使用到不同的controller的接口,后端项目的鉴权又实际上是需要根据页面来鉴权,这样就会出现有些接口会没有权限的 情况,这种一般怎么解决
最新发布
10-15
为了处理不同页面对应的不同权限需求,可以在前端也加入一些动态判断,例如根据路由或URL路径来加载对应的接口并进行权限校验。同时,保持后端接口设计清晰,并尽量避免敏感操作直接暴露在无权限的公共接口上。
结合 Casbin 对 http 请求做 RBAC 鉴权以及添加请求路由参数支持
kingu_crimson的博客
03-28 857
在本文,我们将介绍如何结合 Casbin 对 HTTP 请求进行基于角色的访问控制 (RBAC) 鉴权,并支持请求路由参数。我们将使用 Go 语言Casbin 库。
Casbin实现RBAC权限访问控制
让梦想疯狂
06-19 1356
RBAC全称:Role-Based Access Control(基于角色的访问控制)。例如我们在设计一个财务管理系统时,有CEO、财务、销售等角色会访问该系统。都由角色来决定用户哪些数据允许访问,哪些按钮允许操作等等。一个支持如ACL, RBAC, ABAC等访问模型,可用于Golang, Java, C/C++, Node.js, Javascript, PHP, Laravel, Python, .NET (C#), Delphi, Rust, Ruby, Lua (OpenResty), Dart
推荐开源项目Casbin - 强大且高效的访问控制库
gitblog_00017的博客
05-10 660
推荐开源项目Casbin - 强大且高效的访问控制库 casbinAn authorization library that supports access control models like ACL, RBAC, ABAC in Golang: https://discord.gg/S5UjpzGZjN项目地址:https://gitcode.com/gh_mirrors/ca/casb...
go-casbin学习
weixin_41914013的博客
10-19 1010
casbin权限这一块做的挺全面,覆盖的权限模型基本上满足日常开发使用,包括RBAC,ABAC,ACL,Restful等模型。简单学习即可上手开发。熟练掌握各种模式,和casbinapi使用,在项目可以解决权限的大部分问题。
Grafana接入单点登陆cas实践
mo56834154的博客
01-07 3538
Grafana接入单点登陆cas实践 grafana是一款比较流行且好用的可视化制图工具,在实战过程,往往需要与公司内已有系统做打通,势必带来的问题是如何和内部系统做联动 对grafana添加auth.proxy属性 在grafana.ini配置文件添加如下配置: [auth.proxy] enabled=true header_name=X-WEBAUTH-USER header_property= username auto_sign_up= true 编写grafana-cas,通过go
Go CAS操作
爱死亡机器人
10-21 1430
goCas操作与java类似,都是借用了CPU提供的原子性指令来实现。CAS操作修改共享变量时候不需要对共享变量加锁,而是通过类似乐观锁的方式进行检查,本质还是不断的占用CPU 资源换取加锁带来的开销(比如上下文切换开销)。下面一个例子使用CAS来实现计数器 package main import ( "fmt" "sync" "sync/atomic" ) var ( counter int32 //计数器 wg sync.Wai
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值