casbin轻量级访问控制框架基本使用

已于 2024-11-27 14:58:02 修改
阅读量679 收藏 19
点赞数 20
文章标签: casbin go
于 2024-11-26 14:08:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43474841/article/details/144056821
版权

Casbin是一个强大的,高效的开源访问控制框架,其权限管理机制支持多种访问控制模型,支持多种编程语言。

基本使用

go get github.com/casbin/casbin/v2

casbin有两个部分组成,一个是配置文件,一个是规则集

demo如下
首先准备两个文件,model.pml和policy.csv文件
model.pml

[request_definition]
r = sub, obj, act

[policy_definition]
p = sub, obj, act

[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

[policy_effect]
e = some(where (p.eft == allow))

policy.csv

p, xiaoming, /hello, GET
p, xiaoming, /hello/go, GET
p, xiaoming, /user, GET
p, xiaohong, /users, POST
p, xiaohong, /index, GET
p, xiaohong, /home, GET

casbindemo.go

package main

import (
	"fmt"
	"github.com/casbin/casbin/v2"
	"log"
)

func assert(e *casbin.Enforcer, sub, obj, act string) {
	enforce, err := e.Enforce(sub, obj, act)
	if err != nil {
		fmt.Printf("enforce失败%s\n", err.Error())
	}
	if enforce {
		fmt.Printf("%s ASSERT_SUCCESS %s %s\n", sub, act, obj)
	} else {
		fmt.Printf("%s ASSERT_FAIL %s %s\n", sub, act, obj)
	}
}

func main() {
	e, err := casbin.NewEnforcer("./model.pml", "./policy.csv")
	if err != nil {
		log.Fatalf("NewEnforecer failed:%v\n", err)
	}

	assert(e, "xiaoming", "/hello", "GET")
	assert(e, "xiaoming", "/hello/go", "GET")
	assert(e, "xiaohong", "/hello", "POST")
	assert(e, "xiaohong", "/toto", "POST")
}

输出结果

xiaoming ASSERT_SUCCESS GET /hello
xiaoming ASSERT_SUCCESS GET /hello/go
xiaohong ASSERT_FAIL POST /hello
xiaohong ASSERT_FAIL POST /toto

Casbin配置文件详解

Request

代表请求。看我们上面的例子:

[request_definition]
r = sub, obj, act

代表一个请求有三个标准元素,请求主体,请求对象,请求操作

以用户 xiaohong用GET请求 /api/users接口为例:

请求主体就是 xiaohong

请求对象就是 /api/users

请求操作就是 GET

Policy和Policy_Rule

Policy 代表策略,它表示具体的权限定义的规则是什么

在policy.csv文件中定义的策略就是policy_rule。它和Policy是一一对应的。

例如我们上面的demo:

[policy_definition]
p = sub, obj, act

Matcher

有请求,有规则,那么请求是否匹配某个规则,则是matcher进行判断的,例如:

[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

表示当m为true时 为验证通过 三个表达式都通过

Effect

Effect ⽤来判断如果⼀个请求满⾜了规则,是否需要同意请求。它的规则⽐较复杂⼀些。

[policy_effect]
e = some(where (p.eft == allow))

这里的some表示括号中的表达式个数大于等于1就行。 我们这句话的意思就是将request和所有policy比对完之后,所有policy的策略结果(p.eft)为allow的个数>=1,整个请求的策略就是true

访问控制模型

除了文档中提到的,casbin还支持多种访问控制模型

https://casbin.org/zh/docs/supported-models/

ACL访问控制

ACL是最早也是最基本的一种访问控制机制,它的原理非常简单:

每一项资源,都配有一个列表,这个列表记录的就是哪些用户可以对这项资源执行CRUD中的那些操作。当系统试图访问这项资源时,会首先检查这个列表中是否有关于当前用户的访问权限,从而确定当前用户可否执行相应的操作。总得来说,ACL是一种面向资源的访问控制模型,它的机制是围绕 资源 展开的。

上面的demo就是acl访问控制的例子

增加规则

e.AddPolicy("wangwu", "/users", "POST")
e.SavePolicy()

删除规则

e.RemovePolicy("wangwu", "/users", "POST")
e.SavePolicy()

RBAC访问控制

ACL模型在用户和资源都比较少的情况下没什么问题,但是用户和资源量一大,ACL就会变得异常繁琐

想象一下,每次新增一个用户,都要把他需要的权限重新设置一遍是多么地痛苦

RBAC(role-based-access-control)模型通过引入角色(role)这个中间层来解决这个问题

每个用户都属于一个角色,例如开发者、管理员、运维等,每个角色都有其特定的权限,权限的增加和删除都通过角色来进行

这样新增一个用户时,我们只需要给他指派一个角色,他就能拥有该角色的所有权限

修改角色的权限时,属于这个角色的用户权限就会相应的修改

mode.pml文件

[request_definition]
r = sub, obj, act

[policy_definition]
p = sub, obj, act

[role_definition]
g = _, _

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act

policy.csv

p, admin, /index, GET
p, admin, /home, GET
p, admin, /users, GET
p, admin, /users, POST
p, dev, /index, GET
p, dev, /home, GET
g, zhangsan, admin
g, wangwu, dev

有了角色之后,系统新增一个用户,只需要给这个用户分配角色

然后可以在角色管理中新增一个角色,然后设置角色的访问权限,可以访问哪些接口

在这个模式下,一个用户是可以有多个角色的

增加角色

e.AddPolicy("kuaiji", "/users", "GET")
e.SavePolicy()

增加用户-角色对应关系

e.AddRoleForUser("zhangsan", "kuaiji")
e.SavePolicy()

删除用户-角色对应关系

e.RemoveGroupingPolicy("zhangsan", "kuaiji")
e.SavePolicy()

删除角色

e.RemovePolicy("kuaiji", "/users", "GET")
e.SavePolicy()

gorm接入Casbin

其实基于上面的rbac,就可以做一个角色访问控制功能了

但是目前整个规则集是存储在文件中的

实际应用中肯定还是会把casbin的规则集放到数据库里面

go get github.com/casbin/gorm-adapter/v3

InitGorm

package core

import (
  "fmt"
  "github.com/sirupsen/logrus"
  "gorm.io/driver/mysql"
  "gorm.io/gorm"
  "gorm.io/gorm/logger"
  "time"
)

func InitGorm() *gorm.DB {
  dsn := "root:root@tcp(127.0.0.1:3306)/rule_db?charset=utf8mb4&parseTime=True&loc=Local"

  var mysqlLogger logger.Interface
  db, err := gorm.Open(mysql.Open(dsn), &gorm.Config{
    Logger:                                   mysqlLogger,
    DisableForeignKeyConstraintWhenMigrating: true,
  })
  if err != nil {
    logrus.Error(fmt.Sprintf("[%s] mysql连接失败", dsn))
    panic(err)
  }
  sqlDB, _ := db.DB()
  sqlDB.SetMaxIdleConns(10)               // 最大空闲连接数
  sqlDB.SetMaxOpenConns(100)              // 最多可容纳
  sqlDB.SetConnMaxLifetime(time.Hour * 4) // 连接最大复用时间,不能超过mysql的wait_timeout
  return db
}

生成casbin表结构CasbinRule

gormadapter "github.com/casbin/gorm-adapter/v3"

global.DB.AutoMigrate(
  &gormadapter.CasbinRule{},
)

casbin连接gorm

global.DB = core.InitGorm()
a, _ := gormadapter.NewAdapterByDB(global.DB)
m, err := model.NewModelFromFile("./testdata/model.pml")
if err != nil {
  logrus.Error("字符串加载模型失败!", err)
  return
}
e, _ := casbin.NewCachedEnforcer(m, a)
e.SetExpireTime(60 * 60)
_ = e.LoadPolicy()

rbac模型的增删改查

e.AddPolicy("admin", "/api/users", "GET")
e.AddRoleForUser("zhangsan", "admin")
assert(e, "zhangsan", "/api/users", "GET")
e.RemoveGroupingPolicy("zhangsan", "admin")
e.RemovePolicy("admin", "/api/users", "GET")
assert(e, "zhangsan", "/api/users", "GET")
e.SavePolicy()
assert(e, "zhangsan", "/api/users", "GET")
DATAO丶
关注
Golang访问权限控制框架casbin
geek99_guo的博客
03-19 450
Casbin 是一个强大的、高效的开源访问控制框架,其权限管理机制支持多种访问控制模型。支持的语言也很多,例如:go、java、node.js、python等等.
在CSDN学Golang(轻量级访问控制框架casbin
YKM_2580的博客
07-19 195
ACL(Access Control List)即访问控制列表,它是一种常见的权限控制机制,用于限制用户或进程对资源的访问。需要注意的是,以上示例只是一个简单的流量过滤实现,它并没有考虑到攻击者可能使用伪造 IP 地址等手段进行攻击。RBAC 是一种常见的权限控制机制,它通过定义角色和角色之间的关系来限制用户对资源的访问。需要注意的是,以上示例只是一个简单的 RBAC 实现,它并没有考虑到复杂的权限控制场景。需要注意的是,以上示例只是一个简单的 ABAC 实现,它并没有考虑到复杂的权限控制场景。
Casbin访问控制框架入门详解及Java案例示范
热门推荐
林深不见鹿 的博客
07-06 2万+
Casbin 是一个强大的、高效的开源访问控制框架,其权限管理机制支持多种访问控制模型。 Casbin 可以:默认的请求格式为{subject, object, action}。 2. 具有访问控制模型model和策略policy两个核心概念。 3. 支持RBAC中的多层角色继承,不止主体可以有角色,资源也可以具有角色。 4. 支持内置的超级用户 例如:root 或 administrator。超级用户可以执行任何操作而无需显式的权限声明。 ...
Casbin初识
最新发布
qq_53374893的博客
01-24 1025
Casbin 使用配置文件来定义访问控制模型。model.conf和policy.csv。model.conf存储访问模型,policy.csv存储特定的用户权限配置。Casbin使用非常简单。enforcer。在构建此结构时,将加载model.conf和policy.csv。换句话说,要创建 Casbin 执行器,您需要提供Model和Adapter。Casbin 提供了一个供您使用。有关更多信息,请参阅适配器。
Go语言的Casbin框架
m0_57836225的博客
09-10 440
Casbin 是一个强大的开源访问控制库,它提供了一种简单而灵活的方式来实现访问控制策略。请注意,这只是一个简单的示例,实际应用中可能需要根据具体需求进行更复杂的模型和策略定义。函数初始化 Casbin 对象,并使用。文件来定义授权模型,以及一个。文件来定义具体的访问控制策略。在上述示例中,我们创建了一个。在示例代码中,我们使用
casbin访问控制框架
枫枫知道的个人博客
09-28 798
Casbin是一个强大的,高效的开源访问控制框架,其权限管理机制支持多种访问控制模型,各个编程语言都对casbin有支持目前我的所有项目,都是基于简单的角色管理来的分为了三类,未登录能访问的,普通用户能访问的,管理员能访问的后续做rbac系统,那就会把角色和访问控制结合起来,casbin就可以更好的帮助我去做这个事情网上关于casbin文档其实还挺多的,但是他们的案例很多都不太适合,新手第一次看很容易看懵这个文档就结合实际的web中的访问控制来进行讲解。
Casbin使用实例
sserf的专栏
07-17 2588
Casbin 帮助文档地址:https://casbin.org/docs/zh-CN/how-it-works 常见的设计模式(DAC,MAC,RBAC,ABAC) 0.基于权限的角色控制 RBAC 1.基于属性的权限验证(ABAC: Attribute-Based Access Control) 创建一个Casbin决策器需要有一个模型文件和策略文件为参数: 特性: 1.支持自定义请求的格式,默认的请求格式为{subject, object, action}。 2.具有访问控制模型model和策略po
casbin轻量级的基于配置的授权框架
个人学习笔记库,一篇一篇记录成长的足迹
05-08 2586
Casbin是一个强大的、高效的开源访问控制框架,其权限管理机制支持多种访问控制模型。Casbin提供了一个执行者 根据提供给执行者的策略和模型文件验证传入的请求。再根据对应的配置授权策略,验证请求判断释放那些行动。在 Casbin 中, 访问控制模型被抽象为基于 PERM (Policy, Effect, Request, Matcher) 的一个配置文件。PERM模式由四个基础(策略、效果、请求、匹配)组成,描述了资源与用户之间的关系。通过配置文件对用户授权更方便授权系统的更改和迭代。
PHPCasbin是一个用PHP语言打造的轻量级开源访问控制框架
08-07
PHPCasbin是一个基于PHP编程语言的轻量级访问控制框架,它专注于提供高效、灵活且易于集成的权限管理解决方案。该框架的核心设计理念是实现应用中的访问控制策略,确保只有授权的用户或服务可以访问特定的资源。...
Golang工程组件之轻量级访问控制框架casbin
SMILY12138的博客
04-14 581
casbin还支持多语言,包括Golang、Java、Python、C++等,因此非常适合在跨平台的应用程序中使用。在上面的代码中,我们首先创建了一个casbin模型对象,并使用NewEnforcer方法指定了模型配置文件和策略文件。在Golang开发中,访问控制是一项非常重要的任务,而casbin作为一款轻量级访问控制框架,可以帮助我们实现各种复杂的访问控制需求。casbin是一款非常实用的轻量级访问控制框架,它提供了多种访问控制模型和存储策略支持,使得应用程序可以更加安全和可靠。
使用Casbin在Flask中实现高效访问控制
Flask是Python的一个轻量级Web应用框架,由于其简洁性,它非常受开发者欢迎。在Flask应用中集成Casbin进行权限管理正是flask-authz这个中间件库的用途。 ### flask-authz知识点详解 #### Flask和Casbin集成 在...
FastAPI+MySQL+Tortoise+Casbin 大型项目模板框架.zip
03-14
Tortoise ORM 是一个轻量级的 Python ORM 库,适用于异步环境,与 FastAPI 配合得非常好。Tortoise 提供了简单易用的 API,用于定义数据库模型并执行 CRUD(创建、读取、更新、删除)操作。其基于注解的模型定义方式...
Casbin之具有超级用户的ACL
weixin_52690231的博客
05-31 271
Casbin之具有超级用户的ACL
golang每日一库——casbin开源的访问控制框架
e891377的专栏
08-23 1345
部分用于request的定义,它明确了函数中参数的含义。表示经典三元组: 访问实体 (Subject),访问资源 (Object) 和访问方法 (Action)。但是, 你可以自定义你自己的请求表单, 如果不需要指定特定资源,则可以这样定义sub、act,或者如果有两个访问实体, 则为。这些是我们对policy规则的具体描述policy部分的每一行称之为一个策略规则, 每条策略规则通常以形如pp2的开头。如果存在多个policy定义,那么我们会根据前文提到的与具体的某条定义匹配。TIP。
Casbin
m0_51992387的博客
06-09 1115
casbin
gin-admin-api:基于gin框架的admin后台接口,实现jwt,casbin等基础权限管理
03-31
JWT是一种轻量级的身份验证机制,常用于状态less的API设计。在Gin-admin-api项目中,JWT被用来创建安全的用户认证流程。当用户登录成功后,服务器会返回一个包含用户信息的JWT,这个令牌随后会被客户端存储并附带在...
管理系统系列--Gin + GORM + Casbin + vue-element-admin 实现的权限管理系统(.zip
02-25
Gin是一个用Go语言编写的轻量级Web框架,它提供了快速开发Web应用的能力。Gin基于Martini设计模式,但性能更高,因为它使用了HTTP路由器/gRPC实现。在本项目中,Gin主要负责处理HTTP请求,路由分发,以及与后端业务...
Casbin】一篇文章入门Casbin
m0_53328239的博客
12-02 3301
Policy 就是一种定义,它界定了策略的含义。[policy_definition] //定义policy.csv存储到数据库中策略一般会存储到数据库,因为会有很多策略eg:在本例中,sub、obj和act代表经典的访问三元组:主题(访问实体)、对象(访问资源)和操作(访问方法)。但是,我们也可以自定义自己的请求格式。例如,如果不需要指定特定的资源,可以使用sub, act;如果有两个访问实体,可以使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值