Ladon 折腾手记:结合 Gin 开发一个简易 ACL 接口

最新推荐文章于 2024-07-22 17:22:15 发布
最新推荐文章于 2024-07-22 17:22:15 发布
阅读量525 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiangyou0k/article/details/107605941
版权

文章首发于个人公众号:「阿拉平平」

前段时间试了下用 Gin 编写接口,但是在权限控制这块,网上很多资料都是用 casbin 来实现。网上关于 casbin 的文档良莠不齐,有的甚至看得我一脸懵逼。之后在 V 站上看到有大佬推荐了 Ladon,于是我抽空折腾了下。

文中我将使用 Gin 和 Ladon 实现一个简易的 ACL 接口,通过向接口发送数据判断某用户是否具有操作资源的权限。

简介

Ladon[1] 是一个用于控制访问策略的库,类似于 RBAC 或 ACL,受 AWS IAM 策略启发,由 Golang 编写。

接口

由于 Ladon 本身没有提供 HTTP 服务,所以接口的需要自己实现。这里我用的是 Gin 框架。

首先进入项目目录 Ladon-demo,安装 Gin:

$ cd Ladon-demo
$ go get -u github.com/gin-gonic/gin

创建 main.go 并编写接口,代码如下:

package main

import "github.com/gin-gonic/gin"

func main() {
    r := gin.Default()
    r.GET("/ping", func(c *gin.Context) {
        c.JSON(200, gin.H{
            "message": "pong",
        })
    })
    r.Run() // listen and serve on 0.0.0.0:8080
}

运行服务并测试接口返回值:

$ go run main.go
$ curl -s http://127.0.0.1:8080/ping
{"message":"pong"}

如果返回结果与我一致,说明接口服务正常。接下来就可以使用 Ladon 进行权限控制了。

概念

通常来说,一条完整的策略可以明确告诉我们:谁在特定环境下可以做什么。

因此,向接口发送的数据需要包含:

  • subject:对应「谁」,即主体。
  • action:对应「可以做」,即操作的种类,比如增删改查。
  • resource:对应「做什么」,即具体操作的资源。
  • context:对应「特定环境」,即一些限制条件,可选。

转换成 JSON 格式,大致如下:

{
  "subject": "users:peter",
  "action" : "delete",
  "resource": "resources:articles:ladon-introduction",
  "context": {
    "remoteIP": "192.168.0.5"
  }
}

后端存储的策略格式则复杂些,不过应该不难理解:

{
  "description": "One policy to rule them all.",
  "subjects": ["users:<peter|ken>", "users:maria", "groups:admins"],
  "actions" : ["delete", "<create|update>"],
  "effect": "allow",
  "resources": [
    "resources:articles:<.*>",
    "resources:printer"
  ],
  "conditions": {
    "remoteIP": {
        "type": "CIDRCondition",
        "options": {
            "cidr": "192.168.0.1/16"
        }
    }
  }
}

实例

老板张三开了家理发店,并且雇佣了理发界三巨头 Tony、Kevin 和 Allen。现在需要为三位老师开通理发业务的权限。

安装导入

安装前确保 Go 版本在 1.11 以上。

$ go get github.com/ory/ladon

导入 Ladon:

import  "github.com/ory/ladon"

创建策略

先创建一个策略:

var pol = &ladon.DefaultPolicy{
	ID: "0",
	Description: "Hair Design",
	Subjects: []string{"<Tony|Kevin|Allen>"},
	Resources: []string{
		"resources:hair",
	},
	Actions: []string{"delete", "<create|update>"},
	Effect: ladon.AllowAccess,
}

说明:

  • ID:策略的标识。
  • Description:策略的描述。
  • Subjects:策略的主体。<> 内为正则表达式。
  • Resources:策略的资源。
  • Actions:策略的操作类型。
  • Effect:AllowAccess 表示允许。DenyAccess 表示拒绝。

添加接口

现在添加一个接口 /check,通过 POST 请求发送数据来验证刚刚创建的策略。

修改 main.go,加入以下代码:

r.POST("/check", func(c *gin.Context) {
	// 声明数据结构体
	accessRequest :=  &ladon.Request{}
	var message string
	// 绑定接口发送的数据
	if err := c.BindJSON(accessRequest); err != nil {
		fmt.Println(err)
	} else {
		// 实例化 warden
		warden := &ladon.Ladon{
			// 数据持久化
			Manager: memory.NewMemoryManager(),
			// 打印审计日志
			AuditLogger: &ladon.AuditLoggerInfo{},
		}
		// 添加策略
		warden.Manager.Create(pol)
		// 判断是否拥有权限
		if err := warden.IsAllowed(accessRequest); err != nil {
			message = "无操作权限"
		} else {
			message = "有操作权限"
		}

		c.JSON(200, gin.H{
			"message": message,
		})
	}
})

需要注意的是,在实例化 warden 时指定了用内存方式做数据持久化,因此需要导入 memory:

import "github.com/ory/ladon/manager/memory"

测试接口

访问 http://127.0.0.1:8080/check 测试接口。

先查看下 Tony 老师有没有权限:

$ curl -s \
>       -X POST \
>       -H "Content-Type: application/json" \
>       -d@- \
>       "http://127.0.0.1:8080/check" <<EOF
>         {
>           "subject": "Tony",
>           "action" : "delete",
>           "resource": "resources:hair"
>         }
> EOF
{"message":"有操作权限"}

再测下张三有没有权限:

$ curl -s \
>       -X POST \
>       -H "Content-Type: application/json" \
>       -d@- \
>       "http://127.0.0.1:8080/check" <<EOF
>         {
>   "subject": "张三",
>   "action" : "delete",
>   "resource": "resources:hair"
> }
> EOF
{"message":"无操作权限"}

可以看到,测试结果符合我们的预期。张老板很开心,但是又提了个需求。

限定条件

张老板提出:现在叫 Tony 的人实在太多了,不能是个 Tony 就给他理发业务的权限。

张老板的需求不无道理,所以我们完善下之前的代码,给发送的数据加个限定条件,比如数据中需要指明 boss。

在 pol 里加入 Conditions:

var pol = &ladon.DefaultPolicy{
	...
	Conditions: ladon.Conditions{
		"boss": &ladon.StringEqualCondition{
			Equals: "张三",
		},
	},
}

这里的 StringEqualCondition 用于判断字符串是否相等,即发送的数据里 boss 是否等于 张三。当然,Ladon 还自带了其它的限定条件,同时也支持自定义,这里就不展开了。

接下来测试下接口:

$ curl -s \
>       -X POST \
>       -H "Content-Type: application/json" \
>       -d@- \
>       "http://127.0.0.1:8080/check" <<EOF
>         {
>   "subject": "Tony",
>   "action" : "delete",
>   "resource": "resources:hair"
> }
> EOF
{"message":"无操作权限"}

这里没有指定 boss,所以 Tony 老师就没有权限了。现在指定下 boss 再测试下:

$ curl -s \
>       -X POST \
>       -H "Content-Type: application/json" \
>       -d@- \
>       "http://127.0.0.1:8080/check" <<EOF
>         {
>   "subject": "Tony",
>   "action" : "delete",
>   "resource": "resources:hair",
>   "context": {
>     "boss": "张三"
>   }
> }
> EOF
{"message":"有操作权限"}

可以看到,在指定 boss 后,Tony 老师又获得了权限。

结语

有一说一,Ladon 相关的文档的确不多,功能也不如 casbin 强大。但是如果你熟悉 AWS IAM 策略的话,相信很快就能上手,在权限控制上也可以多一种选择。

References

[1] Ladon: https://github.com/ory/ladon

Xpitz
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Go-ladon-采用Go编写的访问控制策略SDK微服务和IoT时代的授权
08-13
ladon - 采用Go编写的访问控制策略SDK:微服务和IoT时代的授权。 受AWS IAM策略的启发。
gin框架下casbin权限系统ACL授权验证模型入门示例讲解
PHP、go程序员实例学习记录
01-28 1801
gin框架下casbin权限系统ACL授权验证模型入门示例讲解
超简单实现项目中的Casbin鉴权
最新发布
lonely__snow的博客
07-22 375
Casbin学完一头雾水? 不知道怎样在项目中使用? 看完文章你就明白了~
golang常用库之-golang常用库之-ladon包 | 基于策略的访问控制
西京刀客
03-17 841
基于策略的访问控制-ladon https://github.com/ory/ladon Ladon是保护您资源的蛇龙。 Ladon是一个库,用于访问控制策略,类似于基于角色的访问控制或访问控制列表。与ACL和RBAC相比,您可以获得细粒度的访问控制,并能够在复杂环境中回答问题,例如多租户或分布式应用程序和大型组织。Ladon受到AWS IAM Policies 的启发。
casbin的详细理解过程(附图片理解)(rbac模型)
weixin_51991615的博客
03-23 1万+
一、casbin模型 casbin模型又叫PERM模型: subject(sub 访问实体),object(obj访问的资源)和action(act访问方法)eft(策略结果,一般为空 默认指定allow)还可以定义为deny 1)Policy策略 ——— p = {sub, obj, act, eft} 1、策略一般存储到数据库,因为会有很多 2、 [policy_definition] p = sub, obj, act 2)Matchers 匹配规则 Request和Policy的匹配规则 1、
casbin轻量级的基于配置的授权框架
个人学习笔记库,一篇一篇记录成长的足迹
05-08 1844
Casbin是一个强大的、高效的开源访问控制框架,其权限管理机制支持多种访问控制模型。Casbin提供了一个执行者 根据提供给执行者的策略和模型文件验证传入的请求。再根据对应的配置授权策略,验证请求判断释放那些行动。在 Casbin 中, 访问控制模型被抽象为基于 PERM (Policy, Effect, Request, Matcher) 的一个配置文件。PERM模式由四个基础(策略、效果、请求、匹配)组成,描述了资源与用户之间的关系。通过配置文件对用户授权更方便授权系统的更改和迭代。
Go-gohs-Ladon海量正则快速匹配给定一行字符串
08-14
《Go-gohs-Ladon:海量正则快速匹配与高效能解析》 在现代软件开发中,处理大量正则表达式并进行高效匹配是一项挑战。Go-gohs-Ladon是一个专门解决此类问题的库,它允许开发者快速地在海量正则表达式集合中查询与...
ladon:用于访问控制策略的SDK:微服务和IoT时代的授权。 受AWS IAM策略启发。 为Go而写
02-26
龙是保护您资源的毒蛇龙... ,一个可扩展的,现代的WYSI编辑器,用于用React编写的Web。 ,一个可扩展的安全第一OAuth 2.0和Go的OpenID Connect SDK。 :使用dockertest编写更好的集成测试! 目录 Ladon利用ory-am /
django-ladon:将 ladon 添加到 django 项目的包装器
06-14
一个相当简单的包装器,用于在 django 项目中包含 ladon。 只需将 django_ladon 添加到您的 INSTALLED_APPS,以通常的 ladon 方式在您的应用程序中的 ladon.py 中编写您的网络服务类,然后将 urlpattern 指向 ...
Ladon:大型内网渗透扫描器和Cobalt Strike,Ladon7.2内置94个模块,包含信息收集主机端口扫描服务识别密码爆破突破检测漏洞利用。漏洞检测包含MS17010SMBGhostWeblogicActiveMQTomcatStruts2,密码爆破(MysqlOracleMSSQL)FTPSSH(Linux) VNCWindows(IPCWMISMBNetbiosLDAPSmbHashWmiHashWinrm),远程执行命令(wmiexepsexecatexecsshexecwebshel​​
02-05
Ladon一种用于大型网络渗透性的多线程插件化综合扫描神器,包括端口扫描,服务识别,网络资产,密码爆破,高危漏洞检测以及一键GetShell,支持批量A段/ B段/ C段以及跨7.2版本内置94个功能模块,外部模块18个,通过...
Python库 | ladon-0.8.2.tar.gz
03-06
ladon-0.8.2.tar.gz 是一个Python库的压缩包,主要用于后端开发。Ladon是一个强大的工具,它使得在Python中创建和管理Web服务变得简单易行。这个库特别关注于RESTful API的实现,允许开发者用Python定义函数,并将其...
LadonGo源码3.0_20201124.zip
11-24
Wiki http://k8gege.org/Ladon/LadonGo.html 简介 LadonGo一款开源网络渗透扫描器框架,使用它可轻松一键探测C段、B段、A段存活主机、指纹识别、端口扫描、密码爆破、远程执行、高危漏洞检测等。3.0版本包含23个模块功能,高危漏洞检测MS17010、SmbGhost,远程执行SshCmd、WinrmCmd,密码爆破SmbScan、SshScan、FtpScan、MysqlScan、MssqlScan、OracleScan、SqlplusScan、WinrmScan、HttpBasicScan,存活探测/信息收集/指纹识别PingScan、IcmpS
Go-采用Go编写的bashcompletion命令行的bashcompletion
08-14
采用Go编写的bash completion 命令行的bash completion。bash completion written in go bash completion for go command。
casbin简介
douke0320的博客
08-23 924
介绍一下casbin
聊聊授权那些事儿(ladon库)
罗斯839的博客
02-11 4920
概览 今天我们来了解一个用go语言编写的资源访问控制库 — ladon,它使用的权限模型非常类似于RBAC(基于角色的访问控制系统, Role Based Access Control)和ACL(访问控制列表,Access Control Lists),但是相较之下,ladon的授权策略模型能够提供更精细的访问控制,它受AWS的IAM(Identity and Access Management)策略启发,能够在更为复杂的环境中(例如多租户、分布式应用程序和大型组织)工作。 注意,ladon仅仅是一个库,而
Casbin
m0_51992387的博客
06-09 990
casbin
统一Portal门户和IAM平台(单点登录、统一用户资源和权限管理)实践
热门推荐
zollty的专栏
09-08 2万+
一、背景和目的 解决如下问题: 打通所有系统的账户密码,只需要记住一个就行,而且登录一个系统后,打开其他系统不需要再登录。 不需要记住多个系统的地址,甚至不需要在多个系统页面跳来跳去,通过一个门户网站,串通起常用功能。 需求如下: 具备单点登录功能,并且能为第三方应用提供主流的登录认证。 具备用户的基本信息、角色、资源权限等集中管理和控制。 提供统一的集中办公Portal门户网站,在里面无缝链接其他系统的页面和功能。 关键术语: ...
探索Golang安全神器:GoHS-Ladon
gitblog_00089的博客
04-02 369
探索Golang安全神器:GoHS-Ladon 项目地址:https://gitcode.com/DigDeeply/gohs-ladon 项目简介 GoHS-Ladon 是一个由Golang编写的轻量级、高效的权限管理和认证框架。它提供了一种灵活的方式来定义和执行权限策略,以满足现代Web应用程序和服务的安全需求。 技术分析 设计理念 GoHS-Ladon的设计灵感来自于Apache Range...
Ladon教程:快速掌握系统扫描与指纹识别
Ladon是一个功能强大的安全扫描工具,适用于网络渗透测试和安全评估。在本教程中,作者K8哥哥提供了多个命令示例,展示了Ladon在不同场景下的应用。首先,Ladon可以用于扫描网络中的存活主机,通过多协议扫描(如001...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值