gin框架下casbin权限系统ACL授权验证模型入门示例讲解

1.概述

Casbin是一个强大的、高效的开源访问控制框架，其权限管理机制支持多种访问控制模型。

2.安装

go get github.com/casbin/casbin

3.项目目录

工作原理介绍：

导入cosbin包后，主要的文件有模型文件casbin_rbac_model.conf ，权限策略文件Policy.csv（存放权限策略，也可以用mysql代替），在需要判断用户有没有权限能访问的地方，使用Enforce(）这个函数就会返回用户能否访问，就这么简单。

4、模型文件(Model.conf)，具体语法可以参考官方教程 Model语法

# 请求
[request_definition]
r = sub,obj,act
# sub ——> 想要访问资源的用户角色(Subject)——请求实体
# obj ——> 访问的资源(Object)
# act ——> 访问的方法(Action: get、post...)

# 策略(.csv文件p的格式，定义的每一行为policy rule;p,p2为policy rule的名字。)
[policy_definition]
p = sub,obj,act
# p2 = sub,act 表示sub对所有资源都能执行act

# 组定义
[role_definition]
g = _, _
# _,_表示用户，角色/用户组
# g2 = _,_,_ 表示用户, 角色/用户组, 域(也就是租户)

# 策略效果
[policy_effect]
e = some(where (p.eft == allow))
# 上面表示有任意一条 policy rule 满足, 则最终结果为 allow；p.eft它可以是allow或deny，它是可选的，默认是allow

# 匹配器
[matchers]
m = r.sub == p.sub && keyMatch(r.obj,p.obj) && (r.act==p.act || p.act == "*") || r.sub=="superTest" || r.sub=="admin"
#m = r.sub == p.sub && ParamsMatch(r.obj,p.obj) && r.act == p.act
# r.sub="xxx"表示实体为superTest的直接通过

参数详解：

这是一个模型文件，里面定义的都是自定义的参数，只要统一命名就可以了。具体如下:

第一项:请求

[request_definition]
r = sub,obj,act

这里的   r = sub,obj,act   ,定义以变量 r 作为请求对象，后面的sub,obj,act这三项是权限控制的维度。以一个普通会员权限管理系统而言，一般第一个sub指代表访问者的标志（如会员ID，会员帐号或会员角色等）(只是一个变量而已，但要和后面的其它项对应使用)，第二个obj指访问的URL（如）,第三项act为方法（这是每一个URL页面以方法方式再细分的权限单元）。当然还可以有第四参数，第五参数。。。。。。

第二项：策略

[policy_definition]
p = sub,obj,act

这个策略是和请求一一对应的，因为控制请求权限，就需要这个策略做比对，所以参数名字尽量与请求保持一致，以更容易理解。

第三项：策略效果，这个是以第四项为基础的，

# 策略效果
[policy_effect]
e = some(where (p.eft == allow))
# 上面表示有任意一条 policy rule 满足, 则最终结果为 allow；p.eft它可以是allow或deny，它是可选的，默认是allow

第四项，匹配器：

[matchers]
m = r.sub == p.sub && keyMatch(r.obj,p.obj) && (r.act==p.act || p.act == "*") || r.sub=="superTest" || r.sub=="admin"
# r.sub="xxx"表示实体为superTest或admin的直接通过

这个是以第二项为基础对第一项进行判断的逻辑。

所以这个模型文件(Model.conf)也可以写为：

# 请求
[request_definition]
r = member,url,action
# sub ——> 想要访问资源的用户角色(Subject)——请求实体
# obj ——> 访问的资源(Object)
# act ——> 访问的方法(Action: get、post...)

# 策略(.csv文件p的格式，定义的每一行为policy rule;p,p2为policy rule的名字。)
[policy_definition]
p = member,url,action
# p2 = sub,act 表示sub对所有资源都能执行act

# 组定义
[role_definition]
g = _, _
# _,_表示用户，角色/用户组
# g2 = _,_,_ 表示用户, 角色/用户组, 域(也就是租户)

# 策略效果
[policy_effect]
e = some(where (p.eft == allow))
# 上面表示有任意一条 policy rule 满足, 则最终结果为 allow；p.eft它可以是allow或deny，它是可选的，默认是allow

# 匹配器
[matchers]
m = r.member == p.member && keyMatch(r.member,p.url) && (r.action==p.action || p.action == "*") || r.member=="superTest" || r.member=="admin"

# r.sub="xxx"表示实体为superTest的直接通过

5、策略文件Policy.csv，这相当于一个数库文件，也可以用MYSQL代替，此文暂不介绍。

p, admin, /tt, read
p, admin, /tt2, write

这里的数据是以第一个文件里（Model.conf）里的第二项格式进行设置，

 6、Enforce(sub, obj, act)验证权限，

因为casbin是不包含会员系统的，所以这里无法通过登陆动态获取会员号。先引入casbin包,这里直接测试admin用户是否具有URL为/tt页面里read方法以权限，则直接用

Enforce(e, "admin", "/tt", "read")

完整的测试文件如下:

package main

import (
	"fmt"
	"github.com/casbin/casbin/v2"
	"github.com/gin-gonic/gin"
	"log"
	//"log"
	//"runtime"
)

func main() {

	router := gin.Default()
	router.GET("/tt", Tesc)

	router.Run(":8081")

}

func Tesc(c *gin.Context)  {

	e, err := casbin.NewEnforcer("./conf/casbin_rbac_model.conf", "./conf/Policy.csv")
	if err != nil {
		log.Fatalf("NewEnforecer failed:%v\n", err)
	}

	Check(e, "admin", "/tt", "read")
}



func Check(e *casbin.Enforcer, sub, obj, act string) {
	ok, _ := e.Enforce(sub, obj, act)
	if ok {
		fmt.Printf("%s CAN %s %s\n", sub, act, obj)
	} else {
		fmt.Printf("%s CANNOT %s %s\n", sub, act, obj)
	}
}

启动服务器后，访问

http://localhost:8081/tt

控制台输出如下: