【Casbin】一篇文章入门Casbin

最新推荐文章于 2024-06-05 09:35:28 发布
最新推荐文章于 2024-06-05 09:35:28 发布
阅读量2.1k 收藏 23
点赞数 22
分类专栏: go-web 文章标签: casbin web 鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53328239/article/details/134611998
版权

Casbin

Casbin

权限管理在几乎每个系统中都是必备的模块。如果项目开发每次都要实现一次权限管理,无疑会浪费开发时间,增加开发成本。

Casbin是一个强大和高效的开放源码访问控制库,它支持各种访问控制模型以强制全面执行授权。

官网地址:https://casbin.org/zh/

模型基础(PERM)

在Casbin中,访问控制模型被抽象为基于PERM(Policy,Effect,Request,Matcher)的一个配置文件。切换或升级项目的授权机制就像修改配置一样简单。我们可以通过组合可用的模型来定制我们自己的访问控制模型。

在了解PERM模型之前,我们首先了解一下它的几个参数:

  • subject:sub 访问实体(想要访问资源的用户)
  • object:obj访问的资源(将被访问的资源)
  • action:act访问方法(用户对资源执行的操作)
  • eft:策略结果,一般为空,默认指定allow

这几个参数都是组合到一起使用:

eg:

r = sub, obj, act

p,0,user/get/info,GET
//策略表示:sub为0的用户想要访问obj为user/get/info的资源,且资源的访问方法为GET方法。

如果用户所对应的request与上面policy对应的话,eft(策略结果就会放回true放行)

接下来我们看一下具体的PERM模型

Policy定义

Policy 就是一种定义,它界定了策略的含义。

p={sub,obj,act,eft}

[policy_definition] //定义
p = sub, obj, act
p2 = sub, act

p, alice, data1, read 
p2, bob, write-all-objects

(alice, data1, read) -> (p.sub, p.obj, p.act)
(bob, write-all-objects) -> (p2.sub, p2.act)

策略有两种存储方式:

  • policy.csv
    在这里插入图片描述
  • 存储到数据库中
    在这里插入图片描述
    策略一般会存储到数据库,因为会有很多策略

Request定义

eg:

r = (sub,obj,act)

在本例中,sub、obj和act代表经典的访问三元组:主题(访问实体)、对象(访问资源)和操作(访问方法)。但是,我们也可以自定义自己的请求格式。例如,如果不需要指定特定的资源,可以使用sub, act;如果有两个访问实体,可以使用sub, sub2, obj, act

Matchers

Matchers 匹配规则 Request和Policy的匹配规则

m = r.sub == p.sub&&r.act==p.act&&r.obj ==p.obj

Request请求过来与Policy中策略通过Matchers中的规则进行匹配,从而返回匹配结果(eft),如果匹配成功,会默认返回allow 我们也可以自定义返回结果,如果定义过了,就会返回我们定义过的那个结果。

Effect

Effect是对policy生效范围的定义,它决定我们是否可以放行。

eg:

e = some(where(p.eft == allow))
//这种情况下 我们的一个matchers匹配完成 得到了allow 那么这条请求将被放行

e = some(where (p.eft == allow)) && !some(where (p.eft == deny))
//这意味着必须至少有一个匹配的策略规则为允许,而不能有任何匹配的策略规则为拒绝。因此,以这种方式支持允许和拒绝授权,并且拒绝覆盖。

Casbin官方对Effect的规则是规定好的:一共有5种。

ACL模型

在这里插入图片描述
简单的ACL模型就是我们刚刚提到的那几种参数组成的模型,用户请求Request之后,会按照Model中的matchers去跟Policy匹配,如果匹配成功默认返回allow,不成功就是deny,然后再去Model中的policy_effect看本次权限校验是否返回true。

RBAC模型

Casbin支持RBAC系统的多个实例,用户可以拥有角色和它们的继承关系,资源也可以拥有角色和它们的继承关系。这两个RBAC系统不会相互干扰。
在这里插入图片描述
可以看到,RBAC模型比ACL模型多了一个role_definition

role_definition

g= _ , _
//第一个参数是用户名,第二个参数就是该用户名所对应的身份。

RBAC模型执行流程为:

用户请求Request之后,会按照Model中的matchers去跟Policy中的g先匹配,匹配成功得到该用户的身份,然后再去g中匹配,如果匹配成功默认返回allow,不成功就是deny,然后再去Model中的policy_effect看本次权限校验是否返回true。

上图例子:

  • 根据Model中matchers将request与policy进行匹配
  • alice匹配到Policy中g,alice,data2_admin
  • Policy中p的sub是data2_admin有两个
    • data2_admin,data2,read
    • data2_admin,data2,write
  • 最后根据matchers得到的匹配结果是p,data2_admin,data2,read

Go语言实战

使用前先下载casbin包

go get github.com/casbin/casbin/v2

新建一个Casbin enforcer

Casbin使用配置文件定义访问控制模型。
有两个配置文件:model.conf和policy.csv。model.conf存储访问模型,policy.csv存储具体的用户权限配置。

e, err := casbin.NewEnforcer("path/to/model.conf", "path/to/policy.csv")

其中存储具体的用户权限配置我们也可以使用数据库来存储

a, _ := gormadapter.NewAdapter("mysql", "root:123456@tcp(127.0.0.1:3306)/user", true) // /user代表使用哪个数据库,true代表如果没有这个数据库就新建,默认为false
e, err := casbin.NewEnforcer("./model.conf", a)

判断是否能通过

判断“主题”是否能够用“动作”操作访问“对象”,输入参数通常是:(sub,obj,act)。

sub := "alice" // 想要访问资源的用户。
obj := "data1" // 将被访问的资源。
act := "read"  // 用户对资源执行的操作。

ok, err := e.Enforce(sub, obj, act)

if err != nil {
		fmt.Printf("%s", err)
}

if ok == true {
		fmt.Println("通过")
	} else {
		fmt.Println("未通过")
}

增加Policy

AddPolicy 向当前策略添加授权规则。 如果规则已经存在,函数返回false,并且不会添加规则。 否则,函数通过添加新规则并返回true。

//增加单个
add, err := e.AddPolicy("alice", "data1", "read")
//批量增加
rules := [][] string {
    []string {"jack", "data4", "read"},
    []string {"katy", "data4", "write"},
    []string {"leyo", "data4", "read"},
    []string {"ham", "data4", "write"},
}

areRulesAdded := e.AddPolicies(rules)

删除Policy

RemovePolicy 从当前策略中删除授权规则。

//删除单个
removed := e.RemovePolicy("alice", "data1", "read")
//批量删除
rules := [][] string {
    []string {"jack", "data4", "read"},
    []string {"katy", "data4", "write"},
    []string {"leyo", "data4", "read"},
    []string {"ham", "data4", "write"},
}

areRulesRemoved := e.RemovePolicies(rules)

更新Policy

UpdatePolicy 把旧的政策更新到新的政策

//单个更新
updated, err := e.UpdatePolicy([]string{"eve", "data3", "read"}, []string{"eve", "data3", "write"})
//批量更新
updated, err := e.UpdatePolicies(
[][]string{
{"eve", "data3", "read"}, 
{"jack", "data3", "read"}}, 
[][]string{
{"eve", "data3", "write"}, 
{"jack", "data3", "write"}})

获取Policy

//GetPolicy 获取策略中的所有授权规则。
policy = e.GetPolicy()
//GetFilteredPolicy 获取策略中的所有授权规则,可以指定字段筛选器。
filteredPolicy := e.GetFilteredPolicy(0, "alice")
//GetNamedPolicy 获取命名策略中的所有授权规则。
namedPolicy := e.GetNamedPolicy("p")
//GetFilteredNamedPolicy 获取命名策略中的所有授权规则,可以指定字段过滤器。
filteredNamedPolicy = e.GetFilteredNamedPolicy("p", 0, "bob")
m旧裤子
关注
  • 22
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cas 入门之十二:cas 认证处理器-LDAP
snoopy
06-30 5826
关于cas的ldap认证,可以参看 http://blog.163.com/magicc_love/blog/static/18585366220132294648822/ 这篇文章对于如何配置ldap已介绍的算是比较全面了. 后面我主要描述一下这两个的认证逻辑. org.jasig.cas.adaptors.ldap.FastBindLdapAuthenticationHandler 认
casbin-website:Casbin 的文档网站
08-03
Casbin 网站提供支持的站点配置和文档: ://casbin.org入门先决条件吉特节点:安装 6.2.2 或更高版本。 Node v8 将是理想的选择。 纱线:参见Docusaurus:运行yarn global add docusaurus-init或npm install --...
casbin的详细理解过程(附图片理解)(rbac模型)
weixin_51991615的博客
03-23 1万+
一、casbin模型 casbin模型又叫PERM模型: subject(sub 访问实体),object(obj访问的资源)和action(act访问方法)eft(策略结果,一般为空 默认指定allow)还可以定义为deny 1)Policy策略 ——— p = {sub, obj, act, eft} 1、策略一般存储到数据库,因为会有很多 2、 [policy_definition] p = sub, obj, act 2)Matchers 匹配规则 Request和Policy的匹配规则 1、
如何在项目中加入casbin进行简单的权限验证
c1487981308的博客
03-10 464
简易使用casbin进行项目权限判断
探索 Kubernetes 管理新境界:kubemanage
gitblog_00028的博客
06-05 462
探索 Kubernetes 管理新境界:kubemanage 项目地址:https://gitcode.com/noovertime7/kubemanage 在一个快速发展的云原生时代,Kubernetes(K8S)已经成为了容器编排的事实标准。为了更便捷地管理和监控K8S集群,我们推荐一款开源项目——kubemanage,这是一个基于最新技术栈构建的轻量级K8S管理平台,旨在简化K8S的日常运维...
casbin轻量级的基于配置的授权框架
个人学习笔记库,一篇一篇记录成长的足迹
05-08 1417
Casbin是一个强大的、高效的开源访问控制框架,其权限管理机制支持多种访问控制模型。Casbin提供了一个执行者 根据提供给执行者的策略和模型文件验证传入的请求。再根据对应的配置授权策略,验证请求判断释放那些行动。在 Casbin 中, 访问控制模型被抽象为基于 PERM (Policy, Effect, Request, Matcher) 的一个配置文件。PERM模式由四个基础(策略、效果、请求、匹配)组成,描述了资源与用户之间的关系。通过配置文件对用户授权更方便授权系统的更改和迭代。
Golang Beego使用Casbin进行Restful Api权限管理教程
Avtionの秘密房间
11-24 6198
Golang Beego使用Casbin进行Restful Api权限管理教程
go技术文章梳理(2017)
热门推荐
韩亚军的博客
06-22 4万+
gocn_news_2017-12-31 分布式系统下的Go channels https://medium.com/@matryer/introducing-vice-go-channels-across-many-machines-bcac1147d7e2 Go Socket编程之teleport框架是怎样炼成的 https://www.jianshu.com/p/7120...
Springboot 集成 Shiro 和 CAS 实现单点登录(服务端篇CAS5)
天行健,君子以自强不息;地势坤,君子以厚德载物。
01-04 1302
什么是单点登录?先说一个需求场景,比如:一个企业的内部有N多个子系统,每个子系统都有一套自己的用户名和密码,那么企业的员工要登录N个子系统,这样一个员工 就要记住N个用户名和密码,就算各个...
php mvc路由规则参数定义,Laravel 路由入门:路由定义、参数传递及路由命名
weixin_34434843的博客
04-08 431
Laravel 路由入门:路由定义、参数传递及路由命名由 学院君 创建于2年前, 最后更新于 1年前版本号 #150797 views67 likes3 collects对任何一个 Web 应用框架而言,通过 HTTP 协议处理用户请求并返回响应都是核心必备功能,也就是说,对于我们学习和使用一个 Web 框架,第一件要做的事情就是定义应用路由,否则,将无法与终端用户进行交互。而我们的 Larave...
【云原生-DevOps】企业级DevOps平台搭建及技术选型-CICD篇
起而行动,方能平定心中的惶恐
10-29 2万+
Ingress相当于K8S集群的流量入口(后端通过Nginx实现),根据Host和Path判断把流量分发到具体的后端应用。在K8S中就是最主要的,主要包含多个Pod,如最大最小内存、最大最小CPU限制,这样设置后也会保护我们的主机。如果调用者与GRPC服务在同一个K8S集群中,可直接通过列表中的访问地址进行访问,无须加端口。如果调用者与GRPC服务不在用一个K8S集群中,则访问者需要绑Hosts,域名为访问地址。填写的Host不会自动解析到K8S集群入口,需要用户自行解析到集群任一节点的IP。
egg-zrole:EggJS Casbin插件
05-08
蛋z安装$ npm i egg-zrole --save用法// {app_root}/config/plugin.jsexports . zrole = { enable : true , package : 'egg-zrole' ,} ;配置// {app_root}/config/config.default.jsexports . zrole = { useAdapter ...
casbin-objection-adapter:Casbin的异议适配器
02-12
纸箱异议适配器安装npm install @willsoto/casbin-objection-adapter --saveyarn add @willsoto/casbin-objection-adapterpnpm add @willsoto/casbin-objection-adapter基本用法有关更多信息,请参见。 import Knex ...
mongodb-adapter:Casbin的MongoDB适配器
02-02
有了这个库,Casbin可以从MongoDB加载策略或将策略保存到其中。 安装 go get -u github.com/casbin/mongodb-adapter/v3 简单的例子 package main import ( "github.com/casbin/casbin/v2" "github....
nestjs-casbin:带MongoDB适配器的NestJS Casbin模块
05-17
NestJs Casbin Mongodb 用于Casbin的NestJS模块。 支持所有适配器安装$ yarn install nestjs-casbin设定模块 import { Module } from '@nestjs/common' ;import { NestCasbinModule } from 'nestjs-casbin' ;import ...
工业企业数字化转型通用方案2两个文档.pptx
07-05
工业企业数字化转型通用方案2两个文档.pptx
旱地插秧机设计.docx
07-05
旱地插秧机设计.docx
智慧社区建设项目建议书Word(238页).docx
最新发布
07-05
1. 智慧社区背景与挑战 随着城市化的快速发展,社区面临健康、安全、邻里关系和服务质量等多方面的挑战。华为技术有限公司提出智慧社区解决方案,旨在通过先进的数字化技术应对这些问题,提升城市社区的生活质量。 2. 技术推动智慧社区发展 技术进步,特别是数字化、无线化、移动化和物联化,为城市社区的智慧化提供了可能。这些技术的应用不仅提高了社区的运行效率,也增强了居民的便利性和安全性。 3. 智慧社区的核心价值 智慧社区承载了智慧城市的核心价值,通过全面信息化处理,实现对城市各个方面的数字网络化管理、服务与决策功能,从而提升社会服务效率,整合社会服务资源。 4. 多层次、全方位的智慧社区服务 智慧社区通过构建和谐、温情、平安和健康四大社区模块,满足社区居民的多层次需求。这些服务模块包括社区医疗、安全监控、情感沟通和健康监测等。 5. 智慧社区技术框架 智慧社区技术框架强调统一平台的建设,设立数据中心,构建基础网络,并通过分层建设,实现平台能力及应用的可持续成长和扩展。 6. 感知统一平台与服务方案 感知统一平台是智慧社区的关键组成部分,通过统一的RFID身份识别和信息管理,实现社区服务的智能化和便捷化。同时,提供社区内外监控、紧急救助服务和便民服务等。 7. 健康社区的构建 健康社区模块专注于为居民提供健康管理服务,通过整合医疗资源和居民接入,实现远程医疗、慢性病管理和紧急救助等功能,推动医疗模式从治疗向预防转变。 8. 平安社区的安全保障 平安社区通过闭路电视监控、防盗报警和紧急求助等技术,保障社区居民的人身和财产安全,实现社区环境的实时监控和智能分析。 9. 温情社区的情感沟通 温情社区着重于建立社区居民间的情感联系,通过组织社区活动、一键呼叫服务和互帮互助平台,增强邻里间的交流和互助。 10. 和谐社区的资源整合 和谐社区作为社会资源的整合协调者,通过统一接入和身份识别,实现社区信息和服务的便捷获取,提升居民生活质量,促进社区和谐。
python casbin
06-09
Python Casbin是一个轻量级的访问控制框架,它支持访问控制模型的多种实现方式,包括基于RBAC(基于角色的访问控制)、ABAC(基于属性的访问控制)和ACL(访问控制列表)等。它可以与各种编程语言和框架集成,例如Python Flask、Django和FastAPI等。使用Python Casbin,您可以轻松地实现各种访问控制场景,例如API访问控制、数据库访问控制和文件系统访问控制等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值