Casbin实现RBAC

最新推荐文章于 2024-05-02 22:36:42 发布
最新推荐文章于 2024-05-02 22:36:42 发布
阅读量1.3k 收藏 3
点赞数 1
分类专栏: Go 文章标签: Casbin go go语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29537269/article/details/121951328
版权

Casbin框架

Casbin是一个强大的、高效的开源访问控制框架,其权限管理机制支持多种访问控制模型。

官网:https://casbin.org/docs/zh-CN/rbac-with-domains-api

中文文档:https://casbin.org/docs/zh-CN/overview

RBAC API:https://casbin.org/docs/zh-CN/rbac-api

域内基于角色的访问控制 API:https://casbin.org/docs/zh-CN/rbac-with-domains-api

Casbin 是什么?

Casbin可以:

  1. 支持自定义请求的格式,默认的请求格式为{subject, object, action}
  2. 具有访问控制模型model和策略policy两个核心概念。
  3. 支持RBAC中的多层角色继承,不止主体可以有角色,资源也可以具有角色。
  4. 支持内置的超级用户 例如:rootadministrator。超级用户可以执行任何操作而无需显式的权限声明。
  5. 支持多种内置的操作符,如 keyMatch,方便对路径式的资源进行管理,如 /foo/bar 可以映射到 /foo*

Casbin不能:

  1. 身份认证 authentication(即验证用户的用户名、密码),casbin只负责访问控制。应该有其他专门的组件负责身份认证,然后由casbin进行访问控制,二者是相互配合的关系。
  2. 管理用户列表或角色列表。 Casbin认为由项目自身来管理用户、角色列表更为合适, 用户通常有他们的密码,但是Casbin的设计思想并不是把它作为一个存储密码的容器。 而是存储RBAC方案中用户和角色之间的映射关系。

Casbin配置文件(Model 文件)

RBAC

[request_definition]
r = sub, obj, act

[policy_definition]
p = sub, obj, act

[role_definition]
g = _, _

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act

支持域/租户的RBAC

[request_definition]
r = sub, dom, obj, act

[policy_definition]
p = sub, dom, obj, act

[role_definition]
g = _, _, _

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = g(r.sub, p.sub, r.dom) && r.dom == p.dom && r.obj == p.obj && r.act == p.act

初始化Casbin

package casbin

import (
	"errors"
	"github.com/casbin/casbin/v2"
	"github.com/casbin/casbin/v2/model"
	"github.com/casbin/gorm-adapter/v3"
	"go.uber.org/zap"
	"yt.yin/core/global"
)

// InitCasbin
/**
 *  @Description: 初始化Casbin执行者(与gorm结合)
 *  @param DB Gorm连接池
 *  @param casbinConfPath casbin配置文件地址
 *  @return Enforcer casbin执行者
 *  @return err 错误
 */
func InitCasbin(casbinConfPath ...string) (err error) {
	// Gorm适配器
	adapter, err := gormadapter.NewAdapterByDB(global.DB)
	if err != nil {
		global.LOG.Error("创建Casbin Gorm适配器错误:", zap.Any("err", err))
		return  errors.New("Casbin Gorm适配器错误:" + err.Error())
	}
	global.LOG.Info("创建Casbin Gorm适配器成功")
	if len(casbinConfPath) > 0 {
		// 通过ORM新建一个执行者
		global.Enforcer, err = casbin.NewEnforcer(casbinConfPath[0], adapter)
		if err != nil {
			global.LOG.Error("新建Casbin执行者异常:", zap.Any("err", err))
			return  errors.New("新建Casbin执行者异常:" + err.Error())
		}
	} else {
		m, _ := model.NewModelFromString(`
			[request_definition]
            r = sub, obj, act

            [policy_definition]
            p = sub, obj, act

            [role_definition]
            g = _, _

            [policy_effect]
            e = some(where (p.eft == allow))

            [matchers]
            m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act
			`)
		global.Enforcer, err = casbin.NewEnforcer(m, adapter)
		if err != nil {
			global.LOG.Error("新建Casbin执行者异常:", zap.Any("err", err))
			return  errors.New("新建Casbin执行者异常:" + err.Error())
		}
	}

	// 导入访问策略
	err = global.Enforcer.LoadPolicy()
	if err != nil {
		global.LOG.Error("导入访问策略异常:", zap.Any("err", err))
		return  errors.New("导入访问策略异常:" + err.Error())
	}
	return  nil
}

// 初始化casbin执行者
// Enforcer, casbinErr := casbin.InitCasbin("resources\\rbac_model.conf")
Enforcer, casbinErr := casbin.InitCasbin()
if casbinErr != nil {
	panic(casbinErr)
}
global.Enforcer = Enforcer

RBAC API

用户角色

为用户添加角色
e.AddRoleForUser("user", "role")
为用户添加多个角色
roles := []string{
    "role1",
    "role2",
    "role3",
    "role4",
    "role5",
	}
_, err = Enforcer.AddRolesForUser("user1", roles)
if err != nil {
    log.Fatalln("为用户批量添加角色失败")
}
删除用户角色
e.DeleteRoleForUser("user", "role")
删除用户的所有角色
e.DeleteRolesForUser("user")
获取用户角色
res, err := Enforcer.GetRolesForUser("user1")
if err != nil {
	log.Fatalln("获取用户角色失败")
} else {
	log.Println("用户角色:", res)
}
获取具有角色的用户
res := e.GetUsersForRole("role")
确定用户是否具有角色
res := e.HasRoleForUser("user", "role")

角色权限(API权限或策略)

添加API权限
_, err = Enforcer.AddPolicy("role1", "/api/5", "POST")
if err != nil {
	log.Fatalln("添加API权限(策略)失败")
} else {
	log.Println("添加API权限(策略)成功")
}
批量添加API权限
rules := [][]string{
		{"role1", "/api/1", "POST"},
		{"role2", "/api/1", "POST"},
		{"role3", "/api/1", "POST"},
		{"role1", "/api/2", "POST"},
		{"role1", "/api/3", "POST"},
		{"role1", "/api/4", "POST"},
		{"role1", "/api/5", "POST"},
	}

_, err = Enforcer.AddPolicies(rules)
if err != nil {
	log.Fatalln("批量添加API权限(策略)失败")
} else {
	log.Println("批量添加API权限(策略)成功")
}
批量删除API权限
_, err = Enforcer.DeletePermissionsForUser("role1")
if err != nil {
	log.Fatalln("批量删除API权限(策略)失败")
} else {
	log.Println("批量删除API权限(策略)成功")
}
API权限查询(利用API信息)

利用字段筛选器查询策略(授权规则)

answer := Enforcer.GetFilteredPolicy(0, "", "/api/4", "POST")
log.Println("answer:", answer)
查询角色的API权限列表
result := Enforcer.GetPermissionsForUser("role")
log.Println("策略:", result)
查询用户的API权限列表
result ,err= Enforcer.GetImplicitPermissionsForUser("user")
log.Println("策略:", result)
权限效验
sub := "user1"
obj := "/api/2"
act := "POST"
ok, err := Enforcer.Enforce(sub, obj, act)
if ok {
	fmt.Println("通过权限")
} else || err!=nil {
	fmt.Println("权限没有通过")
}

域内基于角色的访问控制 API(暂不需要)

在域内为用户添加角色

ok, err := e.AddRoleForUserInDomain("用户", "角色", "域")

如果用户已经拥有该角色,则返回false

在域内删除用户的角色

ok, err := e.DeleteRoleForUserInDomain("用户", "角色", "域")

如果用户没有任何角色,则返回false

在域内为角色批量添加API权限

rules := [][]string{
    { "role1", "domain1", "www.baidu.com", "GET"},
    { "role2", "domain1", "www.baidu.com", "GET"},
    { "role3", "domain1", "www.baidu.com", "GET"},
    { "role4", "domain1", "www.baidu.com", "GET"},
    { "role5", "domain1", "www.baidu.com", "GET"},
    { "role6", "domain1", "www.baidu.com", "GET"},
    { "role7", "domain1", "www.baidu.com", "GET"},
}
global.Enforcer.AddPolicies(rules)
MELF晓宇
关注
专栏目录
gin框架学习-Casbin入门指南(ACL、RBAC、域内RBAC模型)
林钟一的博客
07-13 2871
gin框架学习-Casbin入门指南(ACL、RBAC、域内RBAC模型)
Casbin.NET:一个授权库,支持.NET(C#)中的访问控制模型,如ACL,RBAC,ABAC
02-05
卡宾网 新闻:仍然担心如何编写正确的Casbin策略? Casbin online editor提供帮助! 请尝试: : Casbin.NET是用于.NET(C#)项目的功能强大且高效的开源访问控制库。 它为基于各种授权实施提供支持。 Casbin支持的所有语言: 准备生产 准备生产 准备生产 准备生产 准备生产 准备生产 实验性的 准备生产 目录 支持机型 具有ACL 没有用户的ACL :对没有身份验证或用户登录的系统特别有用。 没有资源的ACL :通过使用诸如write-article , read-log类的权限,某些方案可能针对一种资源而不是单个资源。 它不控制对特定
casbin的详细理解过程(附图片理解)(rbac模型
热门推荐
weixin_51991615的博客
03-23 1万+
一、casbin模型 casbin模型又叫PERM模型: subject(sub 访问实体),object(obj访问的资源)和action(act访问方法)eft(策略结果,一般为空 默认指定allow)还可以定义为deny 1)Policy策略 ——— p = {sub, obj, act, eft} 1、策略一般存储到数据库,因为会有很多 2、 [policy_definition] p = sub, obj, act 2)Matchers 匹配规则 Request和Policy的匹配规则 1、
Casbin实现RBAC权限访问控制
让梦想疯狂
06-19 1333
RBAC全称:Role-Based Access Control(基于角色的访问控制)。例如我们在设计一个财务管理系统时,有CEO、财务、销售等角色会访问该系统。都由角色来决定用户哪些数据允许访问,哪些按钮允许操作等等。一个支持如ACL, RBAC, ABAC等访问模型,可用于Golang, Java, C/C++, Node.js, Javascript, PHP, Laravel, Python, .NET (C#), Delphi, Rust, Ruby, Lua (OpenResty), Dart
通过casbin实现RBAC权限设计(Mysql存储Policy)
反方向的周-博客
11-29 3157
casbin官网 实习的时候项目要求使用casbin来进行权限控制,因此简单记录下casbin的练手 安装 截至2021.11.29日,casbin的最新版本为v2 go get github.com/casbin/casbin/v2 编写模型文件model.conf [role_definition] g = _, _ [request_definition] r = sub, obj, act [policy_definition] p = sub, obj, act [policy_effec
casbin基于RBAC模型实现权限管理
个人学习笔记库,一篇一篇记录成长的足迹
05-22 1806
数据表形式存储权限表,实现权限管理。
jwt + casbin 实现rbac权限管理
10-31
使用JWT和Casbin实现RBAC权限管理的一般流程如下: 1. 用户登录:用户提供用户名和密码进行身份验证,验证成功后后端生成JWT令牌并返回给前端。 2. 前端请求授权:前端在每次请求中携带JWT令牌,在请求头中加入...
由gin + gorm + jwt + casbin组合实现RBAC权限管理脚手架Golang-gin-web.zip
11-06
在本文中,我们将深入探讨如何使用Gin、Gorm、JWT和Casbin这四个关键组件构建一个基于Golang的RBAC(Role-Based Access Control)权限管理系统。Gin是一个高效的Web框架,Gorm是一个用于Go语言的ORM库,JWT(Json ...
casbin-cpp:一个授权库,支持CC ++中的访问控制模型,如ACL,RBAC,ABAC
02-01
Casbin-CPP是一个针对C++开发的授权库,它的核心功能是实现访问控制策略,包括传统的访问控制列表(ACL)、基于角色的访问控制(RBAC)以及基于属性的访问控制(ABAC)模型。这些模型在信息安全领域中扮演着至关重要...
casbin:授权库,支持Golang中的访问控制模型,如ACL,RBAC,ABAC
02-04
新闻:仍然担心如何编写正确的Casbin策略? Casbin online editor提供帮助! 在以下位置尝试: : Casbin是用于Golang项目的功能强大且高效的开源访问控制库。 它为基于各种授权实施提供支持。 Casbin支持的所有...
Go-基于GinCasbinAntDesignReact的RBAC权限管理脚手架
08-13
基于Gin Casbin Ant Design React的RBAC权限管理脚手架
RBAC权限控制(GO-casbin
qq_37351282的博客
04-25 1190
rbac权限管理(go版本)
Casbin之多层角色的RBAC
weixin_52690231的博客
05-31 467
Casbin之多层角色的RBAC
PHP 中基于 CasbinRBAC + RESTful 权限控制
李否否
09-10 1304
PHP-Casbin 是一个强大的、高效的开源访问控制框架,它支持基于各种访问控制模型RBAC ABAC ACL)的权限管理。 这里使用官方提供的数据库适配器扩展:DBAL Adapter. 安装 通过composer安装: composer require casbin/casbin composer require casbin/dbal-adapter 使用 RBAC Model mod...
casbinRBAC实践
12Dong的博客
10-07 1618
Features What Casbin does: 1.enforce the policy in the classic {subject, object, action} form or a customized form as you defined, both allow and deny authorizations are supported. 2.handle the storag...
RBAC鉴权】node-casbin基础教程
最新发布
IT飞牛
05-02 1182
RBAC鉴权,完整的英文描述是:Role-Based Access Control,中文意思是:基于角色(Role)的访问控制。这是一种广泛应用于计算机系统和网络安全领域的访问控制模型。简单来说,就是通过将权限分配给➡角色,再将角色分配给➡用户,来实现对系统资源的访问控制。一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。
golang学习笔记 casbin授权库学习记录
logiee的博客
03-09 973
Casbin 是一个授权库,在我们希望特定用户访问特定的 对象 或实体的流程中可以使用 主题 访问类型,例如 动作 可以是 读取, 写入, 删除 或开发者设置的任何其他动作。这是Casbin最广泛的使用,它叫做"标准" 或经典 { subject, object, action } 流程。Casbin能够处理除标准流量以外的许多复杂的许可使用者。可以添加 角色 (RBAC), 属性 (ABAC) 等。首先准备函数。
JAVA的对象访问定位
Linux,Java,SpringBoot,Python,Lua略知一点
10-23 251
创建对象是为了访问对象,Java程序通过栈的引用(reference)数据来操作堆上的对象。由于reference类型在Java虚拟机规范中只规定了一个指向对象的引用。并没有规定通过该引用怎么定位,访问堆中的对象。具体需要看虚拟机的实现。 两种访问方式: 句柄访问 直接访问 句柄访问 Java堆中会划分一个句柄池,reference存储的就是对象的句柄地址,而句柄中存放的是对象的实例数据和类型数据的地址信息。 直接访问 Java堆对象布局就必须考虑如何存放访问类型数据的相关信息,referenc
Gin 快速入门知识点总结(奇淼)
萌宅鹿的技术小屋
03-15 2981
各种请求方式获取参数 绑定参数和参数验证 文件的上传和返回 读取文件 给前端返回文件 中间件和路由分组 分组 中间件 日志和日志格式 使用 GORM 进行数据库操 jwt-go Casbin
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值