golang每日一库——casbin开源的访问控制框架

于 2024-08-23 13:00:00 发布
阅读量1k 收藏 17
点赞数 11
分类专栏: golang从入门到入门 文章标签: golang 开源 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/e891377/article/details/141422861
版权

文章目录

casbin

Casbin是一个强大且高效的开源访问控制库,支持各种访问控制模型,用于在全局范围内执行授权。

casbin工作原理——PERM

在 Casbin 中, 访问控制模型被抽象为基于 PERM (Policy, Effect, Request, Matcher) 的一个文件。 因此,切换或升级项目的授权机制与修改配置一样简单。 您可以通过组合可用的模型来定制您自己的访问控制模型。

例如,您可以在一个model中结合RBAC角色和ABAC属性,并共享一组policy规则。

PERM模式由四个基础(政策、效果、请求、匹配)组成,描述了资源与用户之间的关系。

请求——Request

定义请求参数。基本请求是一个元组对象,至少需要主题(访问实体)、对象(访问资源) 和动作(访问方式)

例如,一个请求可能长这样: r={sub,obj,act}

它实际上定义了我们应该提供访问控制匹配功能的参数名称和顺序。

策略——Policy

定义访问策略模式。事实上,它是在政策规则文件中定义字段的名称和顺序。

例如: p={sub, obj, act}p={sub, obj, act, eft}

注:如果未定义eft (policy result),则策略文件中的结果字段将不会被读取, 和匹配的策略结果将默认被允许。

匹配器——Matcher

匹配请求和政策的规则。

例如: m = r.sub == p.sub && r.act == p.act && r.obj == p.obj 这个简单和常见的匹配规则意味着如果请求的参数(访问实体,访问资源和访问方式)匹配, 如果可以在策略中找到资源和方法,那么策略结果(p.eft)便会返回。 策略的结果将保存在 p.eft 中。

效果——Effect

它可以被理解为一种模型,在这种模型中,对匹配结果再次作出逻辑组合判断。

例如: e = some (where (p.eft == allow))

这句话意味着,如果匹配的策略结果有一些是允许的,那么最终结果为真。

让我们看看另一个示例: e = some (where (p.eft == allow)) && !some(where (p.eft == deny) 此示例组合的逻辑含义是:如果有符合允许结果的策略且没有符合拒绝结果的策略, 结果是为真。 换言之,当匹配策略均为允许(没有任何否认)是为真(更简单的是,既允许又同时否认,拒绝就具有优先地位)。

Casbin中最基本、最简单的model是ACL。ACL中的model 配置为:

# Request definition
[request_definition]
r = sub, obj, act

# Policy definition
[policy_definition]
p = sub, obj, act

# Policy effect
[policy_effect]
e = some(where (p.eft == allow))

# Matchers
[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

ACL模型的一个示例策略类似:

p, alice, data1, read
p, bob, data2, write

它意味着:

  • alice可以读取data1
  • bob可以编写data2

我们还支持多行模式,通过在结尾处追加“\”:

#  匹配器
[matchers]
m = r.sub == p.sub && r.obj == p.obj \ 
  && r.act == p.act

此外,对于 ABAC,您在可以在 Casbin golang 版本中尝试下面的in (jCasbin 和 Node-Casbin 尚不支持) 操作:

# Matchers
[matchers]
m = r.obj == p.obj && r.act == p.act || r.obj in ('data2', 'data3')

但是你应确保数组的长度大于 1,否则的话将会导致 panic 。

Model语法

  • Model CONF 至少应包含四个部分: [request_definition], [policy_definition], [policy_effect], [matchers]
  • 如果 model 使用 RBAC, 还需要添加[role_definition]部分。
  • Model CONF 文件可以包含注释。注释以 # 开头, # 会注释该行剩余部分。

Request定义

[request_definition] 部分用于request的定义,它明确了 e.Enforce(...) 函数中参数的含义。

[request_definition]
r = sub, obj, act

sub, obj, act 表示经典三元组: 访问实体 (Subject),访问资源 (Object) 和访问方法 (Action)。
但是, 你可以自定义你自己的请求表单, 如果不需要指定特定资源,则可以这样定义 sub、act ,或者如果有两个访问实体, 则为 sub、sub2、obj、act

Policy定义

[policy_definition] 部分是对policy的定义,以下文的 model 配置为例:

[policy_definition]
p = sub, obj, act
p2 = sub, act

这些是我们对policy规则的具体描述

p, alice, data1, read
p2, bob, write-all-objects

policy部分的每一行称之为一个策略规则, 每条策略规则通常以形如p, p2policy type开头。 如果存在多个policy定义,那么我们会根据前文提到的policy type与具体的某条定义匹配。 上面的policy的绑定关系将会在matcher中使用, 罗列如下:

(alice, data1, read) -> (p.sub, p.obj, p.act)
(bob, write-all-objects) -> (p2.sub, p2.act)

TIP
策略规则中的元素总被视为字符串

Policy effect定义

[policy_effect] 是策略效果的定义。 它确定如果多项政策规则与请求相符,是否应批准访问请求。 例如,一项规则允许,另一项规则则加以拒绝。

[policy_effect]
e = some(where (p.eft == allow))

上面的策略效果表示如果有任何匹配的策略规则 允许, 最终效果是 允许 (aka allow-override). p.eft 是策略的效果,它可以 允许否定。 它是可选的,默认值是 允许。 因为我们没有在上面指定它,所以它使用默认值。

策略效果的另一个例子是:

[policy_effect]
e = !some(where (p.eft == deny))

这意味着如果没有匹配的政策规则为否定, 最终效果是 允许 (别名为拒绝). some 表示:如果存在一个匹配的策略规则。 any 意味着:所有匹配的政策规则(这里不使用)。 策略效果甚至可以与逻辑表达式相关联:

[policy_effect]
e = some(where (p.eft == allow)) && !some(where (p.eft == deny))

这意味着至少有一个匹配的策略规则允许,并且没有匹配的否定的 的策略规则。 因此,允许和拒绝授权都得到支持,拒绝则被推翻。

NOTE
尽管我们设计了政策效果的语法。 目前的执行只是使用硬编码的政策效果,因为我们认为这种灵活性没有多大必要。 所以现在您必须使用内置的政策效果之一,而不是自定义您自己的效果。

支持的内在政策效应是:

Policy effect意义示例
some(where (p.eft == allow))allow-overrideACL, RBAC, etc.
!some(where (p.eft == deny))deny-overrideDeny-override
some(where (p.eft == allow)) && !some(where (p.eft == deny))allow-and-denyAllow-and-deny
priority(p.eft) || denypriorityPriority
subjectPriority(p.eft)基于角色的优先级主题优先级

Matchers定义

[matchers] 是策略匹配程序的定义。匹配程序是表达式。它定义了如何根据请求评估策略规则。

[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

上述匹配器是最简单的,这意味着请求中的主题、对象和行动应该与政策规则中的匹配。

您可以在匹配器中使用诸如 +, -, *, / 和逻辑操作员,例如 &&, ||, !

编辑器

例子1

模型ACL
在这里插入图片描述
当请求为alice, data1, read时,执行结果为true。当请求为alice, data1, write时,返回false。以上为最简单的ACL模型。

例子2

模型ACL

当为Policy添加effect时,如下
在这里插入图片描述
当策略为deny时,执行结果为false。修改策略为allow时,返回true。

例子3

模型ACL

在这里插入图片描述
当策略中存在deny和allow时,成功匹配,返回true。但是实际中,我们应以拒绝优先。此时,我们可以考虑修改Policy effect,运用内建的allow-and-deny条目。

some(where (p.eft == allow)) && !some(where (p.eft == deny))

条目可以解释为,有一条通过,没有一条等于deny。
在这里插入图片描述

必须使用内建的策略规则,就是上面表格那5条

例子4

RBAC模型
在这里插入图片描述

匹配data1_admin角色,角色包含write权限,匹配通过

例子5

RBAC模型
在这里插入图片描述

策略直接匹配bob用户通过

例子6

RBAC模型
在这里插入图片描述
策略直接限制bob用户无法通过

例子7

RBAC模型
在这里插入图片描述
在例子6中添加一条策略g, bob, data2_admin得例子7。此时,匹配data2_admin域,但是bob用户本身无法通过

例子8

RBAC模型
在这里插入图片描述
修改名字为bob1,添加策略g, bob1, data2_admin,通过。p, bob, data2, write, deny策略无法限制用户bob1

例子9

模型RBAC with domains/tenants
在这里插入图片描述
请求匹配admin角色,但是domain2域内只有一条,仅可操作data2数据,与请求中的data1数据不符,故无法通过。

添加策略p, admin, domain2, data1, read或者p, alice, domain2, data1, read可以通过。

在这里插入图片描述

怪我冷i
关注
专栏目录
Golang访问权限控制框架casbin
geek99_guo的博客
03-19 333
Casbin 是一个强大的、高效的开源访问控制框架,其权限管理机制支持多种访问控制模型。支持的语言也很多,例如:go、java、node.js、python等等.
casbin:授权库,支持Golang中的访问控制模型,如ACL,RBAC,ABAC
02-04
卡斯宾 新闻:仍然担心如何编写正确的Casbin策略? Casbin online editor提供帮助! 在以下位置尝试: : Casbin是用于Golang项目的功能强大且高效的开源访问控制库。 它为基于各种授权实施提供支持。 Casbin支持的所有语言: 准备生产 准备生产 准备生产 准备生产 准备生产 准备生产 Beta测试 准备生产 目录 支持机型 具有ACL 没有用户的ACL :对于没有身份验证或用户登录的系统特别有用。 没有资源的ACL :通过使用诸如write-article , read-log类的权限,某些方案可能针对一种资源而不是单个资源。 它不控制对特定
JAVA的对象访问定位
Linux,Java,SpringBoot,Python,Lua略知一点
10-23 251
创建对象是为了访问对象,Java程序通过栈的引用(reference)数据来操作堆上的对象。由于reference类型在Java虚拟机规范中只规定了一个指向对象的引用。并没有规定通过该引用怎么定位,访问堆中的对象。具体需要看虚拟机的实现。 两种访问方式: 句柄访问 直接访问 句柄访问 Java堆中会划分一个句柄池,reference存储的就是对象的句柄地址,而句柄中存放的是对象的实例数据和类型数据的地址信息。 直接访问 Java堆对象布局就必须考虑如何存放访问类型数据的相关信息,referenc
组件分享之后端组件——基于Golang访问控制casbin
CN華少的博客
03-11 528
组件分享之后端组件——基于Golang访问控制casbin 背景 近期正在探索前端、后端、系统端各类常用组件与工具,对其一些常见的组件进行再次整理一下,形成标准化组件专题,后续该专题将包含各类语言中的一些常用组件。欢迎大家进行持续关注。 组件基本信息 组件:casbin 开源协议:Apache-2.0 License 内容 之前给大家分享了认证全套模块Casdoor,今天我们再进行分享...
Golanggolang 访问控制框架casbin
Not_a_penny_to_name的博客
01-12 947
一。 开始 Casbin 是一个强大的、高效的开源访问控制框架,其权限管理机制支持多种访问控制模型。 ACL (Access Control List, 访问控制列表) 具有超级用户 的 ACL 没有用户的 ACL: 对于没有身份验证或用户登录的系统尤其有用。 没有资源的 ACL: 某些场景可能只针对资源的类型, 而不是单个资源, 诸如 write-article , read-log 等权限。...
Casbin Demo实例(支持CSV和MySQL两种策略规则)
sserf的专栏
07-14 3624
Casbin 帮助文档地址:https://casbin.org/docs/zh-CN/how-it-works 常见的设计模式(DAC,MAC,RBAC,ABAC) 0.基于权限的角色控制 RBAC 1.基于属性的权限验证(ABAC: Attribute-Based Access Control) 创建一个Casbin决策器需要有一个模型文件和策略文件为参数: 特性: 1.支持自定义请求的格式,默认的请求格式为{subject, object, action}。 2.具有访问控制模型model和策略po
Golang工程组件之轻量级访问控制框架casbin
SMILY12138的博客
04-14 520
casbin还支持多语言,包括Golang、Java、Python、C++等,因此非常适合在跨平台的应用程序中使用。在上面的代码中,我们首先创建了一个casbin模型对象,并使用NewEnforcer方法指定了模型配置文件和策略文件。在Golang开发中,访问控制是一项非常重要的任务,而casbin作为一款轻量级的访问控制框架,可以帮助我们实现各种复杂的访问控制需求。casbin是一款非常实用的轻量级访问控制框架,它提供了多种访问控制模型和存储策略支持,使得应用程序可以更加安全和可靠。
golang学习笔记 casbin授权库学习记录
logiee的博客
03-09 980
Casbin 是一个授权库,在我们希望特定用户访问特定的 对象 或实体的流程中可以使用 主题 访问类型,例如 动作 可以是 读取, 写入, 删除 或开发者设置的任何其他动作。这是Casbin最广泛的使用,它叫做"标准" 或经典 { subject, object, action } 流程。Casbin能够处理除标准流量以外的许多复杂的许可使用者。可以添加 角色 (RBAC), 属性 (ABAC) 等。首先准备函数。
[golang]-golang中使用casbin做权限验证
爷来辣的博客
11-27 730
golang casbin
Golang最强大的访问控制框架casbin全解析
轩脉刃的刀光剑影
01-16 4446
开箱即用的访问控制框架casbin原理是啥?支持哪些权限模型?本文一一解答。本文非常长,适合边嗑瓜子边看....Casbin是一个强大的、高效的开源访问控制框架,其权限管理机制支持多种访...
Golangcasbin权限管理的实现
12-16
1. 权限管理 Casbin是用于Golang项目的功能强大且高效的开源访问控制库。 1.1.1. 特征 Casbin的作用: 以经典{subject, object, action}形式或您定义的自定义形式实施策略,同时支持允许和拒绝授权。 处理访问控制模型及其策略的存储。 管理角色用户映射和角色角色映射(RBAC中的角色层次结构)。 支持内置的超级用户,例如root或administrator。超级用户可以在没有显式权限的情况下执行任何操作。 多个内置运算符支持规则匹配。例如,keyMatch可以将资源键映射/foo/bar到模式/foo*。 Casbin不执行的操作: 身份验证(又名验证
Go示例学--通过示例学习Golang语言
08-20
Go示例学--通过示例学习Golang语言,比较实用。边学边实战,浅显易懂,golang初学者容易入门首选。
goRBAC在Golang中提供了轻量级的基于角色的访问控制(RBAC)实现。-Golang开发
05-26
goRBAC goRBAC在Golang中提供了基于角色的轻量级访问控制实现。 就此软件包而言:*身份具有一个或多个角色。 *角色请求访问权限。 *授予权限goRBAC goRBAC在Golang中提供了基于角色的轻量级访问控制实现。 就此软件包而言:*身份具有一个或多个角色。 *角色请求访问权限。 *授予角色权限。 因此,RBAC具有以下模型:*身份和角色之间的多对多关系。 *角色和权限之间的多对多关系。 *角色可以具有父角色(继承权限)。 版本当前,goRBAC有两个版本:V
gin-web:由gin + gorm + jwt + casbin组合实现的RBAC权限管理脚手架Golang版, 搭建完成即可快速、高效投入业务开发
04-30
Gin Web 由gin + gorm + jwt + casbin组合实现的RBAC权限管理脚手架Golang版, 搭建完成即可快速、高效投入业务开发 特性 RESTful API 设计规范 Gin 一款高效的golang web框架 MySQL 数据库存储 Jwt 用户认证, 登入登出一键搞定 Casbin 基于角色的访问控制模型(RBAC) Gorm 数据库ORM管理框架, 可自行扩展多种数据库类型(主分支已支持gorm 2.0) Validator 请求参数校验, 版本V9 Lumberjack 日志切割工具, 高效分离大日志文件, 按日期保存文件 Viper 配置管理工具, 支持多种配置文件类型 Packr 文件打包工具, 轻松将静态文件打包到编译后的二进制应用中 GoFunk 常用工具包, 某些方法无需重复造轮子 Workflow 工作流程管理(由于golang工作流相关轮子很
golang最好用的权限控制库casbin使用实例.pdf
06-30
Casbin是一个强大的、易于使用的开源库,用于访问控制(例如,基于角色的访问控制 RBAC、基于属性的访问控制 ABAC)和权限管理。它支持多种访问控制模型,可以定制匹配器以适应不同的场景。该库提供了C++、Java、...
Golang Casbin库 执行授权&权限控制 学习笔记
weixin_54083160的博客
06-05 648
subject (sub访问实体),object(obj访问的资源)和action(act访问方法) eft(策略结果 一般为空 默认指定 allow)
在CSDN学Golang(轻量级访问控制框架casbin
最新发布
YKM_2580的博客
07-19 158
ACL(Access Control List)即访问控制列表,它是一种常见的权限控制机制,用于限制用户或进程对资源的访问。需要注意的是,以上示例只是一个简单的流量过滤实现,它并没有考虑到攻击者可能使用伪造 IP 地址等手段进行攻击。RBAC 是一种常见的权限控制机制,它通过定义角色和角色之间的关系来限制用户对资源的访问。需要注意的是,以上示例只是一个简单的 RBAC 实现,它并没有考虑到复杂的权限控制场景。需要注意的是,以上示例只是一个简单的 ABAC 实现,它并没有考虑到复杂的权限控制场景。
Golang库集合
秋天的博客
10-23 1422
Golang库集合   golang用于创建和发送电子邮件的库 douceur - HTML 邮件中的内联 CSS email - 一个健壮的、灵活的 email 库 Go-dkim - DKIM 库,用于对 email 进行签名和验证 Go-imap - IMAP 库,用于客户端和服务器 Go-message - 用于触雷互联网消息格式和邮件的库 Gomail - Gomail 是一个非常...
Golang casbin
05-10
Golang casbin 是一个基于 RBAC 模型的访问控制框架,可以实现对资源的访问控制。它支持多种访问控制模型,如 RBAC、ABAC、ACL 等。同时,它还支持多种存储适配器,如文件、MySQL、PostgreSQL、MongoDB 等,可以方便地与不同的存储系统集成。Golang casbin 还提供了丰富的 API 和插件机制,可以根据应用场景自定义扩展,满足不同的需求。它可以应用于 Web、API、微服务等多种场景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值