Gin框架使用Casbin进行用户权限校验

最新推荐文章于 2024-05-30 22:04:25 发布
置顶 最新推荐文章于 2024-05-30 22:04:25 发布
阅读量3.8k 收藏 10
点赞数 2
分类专栏: golang 文章标签: go
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45566022/article/details/108880608
版权

以下是测试项目目录

在这里插入图片描述

一、配置model

conf/casbin_rbac_model.conf

# 请求
[request_definition]
r = sub,obj,act
# sub ——> 想要访问资源的用户角色(Subject)——请求实体
# obj ——> 访问的资源(Object)
# act ——> 访问的方法(Action: get、post...)

# 策略(.csv文件p的格式,定义的每一行为policy rule;p,p2为policy rule的名字。)
[policy_definition]
p = sub,obj,act
# p2 = sub,act 表示sub对所有资源都能执行act

# 组定义
[role_definition]
g = _, _
# _,_表示用户,角色/用户组
# g2 = _,_,_ 表示用户, 角色/用户组, 域(也就是租户)

# 策略效果
[policy_effect]
e = some(where (p.eft == allow))
# 上面表示有任意一条 policy rule 满足, 则最终结果为 allow;p.eft它可以是allow或deny,它是可选的,默认是allow

# 匹配器
[matchers]
m = r.sub == p.sub && keyMatch(r.obj,p.obj) && (r.act==p.act || p.act == "*") || r.sub=="superTest"
# r.sub="xxx"表示实体为superTest的直接通过

二、配置policy

官方文档的示例使用.csv文件来进行管理,这样不利于动态管理,这里我使用mysql数据库来进行存储

需要用到的包:

# 贴出的代码中保留了所有用到的import的包

controler/casbins.go

package controler

import (
	"casbin_test/logic"
	"casbin_test/models"
	"github.com/gin-gonic/gin"
	"github.com/gin-gonic/gin/binding"
	"net/http"
)

/**
 *@Method 添加规则入口函数
 *@Params
 *@Return
 *@Tips:
 */
func AddPHandler(c *gin.Context){
	var cb = new(models.AddPReq)
	err := c.ShouldBindWith(cb, binding.Form)
	if err != nil {
		c.JSON(http.StatusBadRequest,gin.H{
			"success":false,
			"msg":"求情参数异常",
		})
		return
	}
	_, err = logic.AddPLogic(cb)
	if err != nil {
		c.JSON(http.StatusOK,gin.H{
			"success":false,
			"msg":"添加失败",
		})
		return
	}
	c.JSON(http.StatusOK,gin.H{
		"success":true,
		"msg":"添加成功",
	})
}

logic/casbins.go

package logic

import (
	"casbin_test/dao"
	"casbin_test/models"
)

/**
 *@Method 添加规则逻辑函数
 *@Params
 *@Return
 *@Tips:
 */
func AddPLogic(cb *models.AddPReq) (bool, error) {
	e := dao.Casbin()
	//policy := e.GetPolicy()
	return e.AddPolicy(cb.RoleName, cb.Path, cb.Method) // 查看源码发现库中对已存在重复的规则进行了处理
}

dao/mysql.go

package dao

import (
	"fmt"
	"github.com/Blank-Xu/sqlx-adapter"
	"github.com/casbin/casbin/v2"
	_ "github.com/go-sql-driver/mysql"
	"github.com/jmoiron/sqlx"
	"log"
	"time"
)

var MDB *sqlx.DB

/**
 *@Method 数据库初始化
 *@Params
 *@Return
 *@Tips:
 */
func Init() (err error) {
	dsn := fmt.Sprintf("root:root@tcp(127.0.0.1:3306)/casbin_test?charset=utf8mb4&parseTime=true")
	MDB, err = sqlx.Connect("mysql", dsn)
	if err != nil {
		log.Fatal("connect MDB failed:",err.Error())
		return
	}
	// 设置最大连接数
	MDB.SetMaxOpenConns(20)
	MDB.SetMaxIdleConns(10)
	MDB.SetConnMaxLifetime(time.Minute*5)
	return
}

/**
 *@Method 关闭连接
 *@Params
 *@Return
 *@Tips:
 */
func CloseMysql(db *sqlx.DB) {
	err := db.Close()
	if err != nil {
		panic(err)
	}
}

/**
 *@Method 实例化
 *@Params
 *@Return
 *@Tips:
 */
func Casbin() *casbin.Enforcer{
	var err error
	a, err := sqlxadapter.NewAdapter(MDB, "casbin_rule")
	if err != nil {
		log.Fatal(err.Error())
	}
	e, err := casbin.NewEnforcer("./conf/casbin_rbac_model.conf", a)
	if err != nil {
		log.Fatal(err.Error())
	}
	// 加载规则
	err = e.LoadPolicy()
	if err != nil {
		fmt.Printf("加载失败,error:%s",err.Error())
	}
	return e
}

models/casbin_model.go

package models

type AddPReq struct {
	RoleName string `form:"rolename" binding:"required"`
	Path     string `form:"path" binding:"required"`
	Method   string `form:"method" binding:"required"`
}

三、配置jwt和权限校验中间件,模拟用户登录

pkg/jwt/jwt.go

package jwt

import (
	"errors"
	"github.com/dgrijalva/jwt-go"
	"time"
)

const (
	AcceptTokenKey             = "ACToken"
	RefreshTokenKey            = "RFToken"
	TokenIssuer                = "testIssuer"
	mySecret                   = "666test"
	TokenExpireDuration        = time.Hour * 24 *7
	RefreshTokenExpireDuration = time.Hour * 24 * 30
)

var (
	// 预设错误信息
	TokenExpired     = errors.New("Token is expired")
	TokenNotValidYet = errors.New("Token not active yet")
	TokenMalformed   = errors.New("That's not even a token")
	TokenInvalid     = errors.New("Couldn't handle this token:")
)

type MyClaims struct {
	UserName string `json:"username"`
	Role string `json:"role"`
	jwt.StandardClaims
}

func GenAccessToken(userName,role string) (aToken string, err error) {
	// 创建一个我们自己的声明的数据
	cl := MyClaims{
		UserName: userName,
		Role: role,
		StandardClaims: jwt.StandardClaims{
			ExpiresAt: time.Now().Add(TokenExpireDuration).Unix(), // 过期时间
			Issuer:    TokenIssuer,
		},
	}
	// 使用指定的签名方法创建签名对象
	aToken, err = jwt.NewWithClaims(jwt.SigningMethodHS256, cl).SignedString([]byte(mySecret))
	return
}

func GenRefreshToken() (rToken string, err error) {
	// refresh token
	rToken, err = jwt.NewWithClaims(jwt.SigningMethodHS256, jwt.StandardClaims{
		ExpiresAt: time.Now().Add(RefreshTokenExpireDuration).Unix(),
		Issuer:    TokenIssuer,
	}).SignedString([]byte(mySecret))
	return
}

func ParseToken(tokenString string) (*MyClaims, error) {
	// 解析token
	var mc = new(MyClaims)
	token, err := jwt.ParseWithClaims(tokenString, mc, func(token *jwt.Token) (interface{}, error) {
		return []byte(mySecret), nil
	})
	if err != nil {
		// 如果强转*jwt.ValidationError成功,对错误进行判断
		if validationError, ok := err.(*jwt.ValidationError); ok {
			/*
				当validationError中的错误信息由错误的token结构引起时,
				**************************************************
				源码vErr.Errors |= ValidationErrorExpired,
				或运算,只有都为0才为0,0000 0000|0000 0101 = 0000 0101
				由于vErr.Errors的初始值为0,所以等价于将ValidationErrorMalformed赋值给validationError的Errors,
				*****************************************************
				如果没有赋值,Errors的初始值为0,那么validationError.Errors&jwt.ValidationErrorMalformed = 0,
				赋值后造成validationError.Errors不为0,那么validationError.Errors&jwt.ValidationErrorMalformed != 0
			*/
			if validationError.Errors&jwt.ValidationErrorMalformed != 0 {
				return nil, TokenMalformed
				// 以下与上方原理相同
			} else if validationError.Errors&jwt.ValidationErrorExpired != 0 {
				return nil, TokenExpired
			} else if validationError.Errors&jwt.ValidationErrorNotValidYet != 0 {
				return nil, TokenNotValidYet
			} else {
				return nil, TokenInvalid
			}
		}
	}
	if token != nil {
		// 强转成jwtClaims
		if claims, ok := token.Claims.(*MyClaims); ok && token.Valid {
			// 如果合法返回claims
			return claims, nil
		}
		return nil, TokenInvalid
	} else {
		return nil, TokenInvalid
	}
}

func RefreshToken(aToken, rToken string) (newAToken string, err error) {
	// refresh token 无效直接返回
	if _, err = jwt.Parse(rToken, func(token *jwt.Token) (interface{}, error) {
		return []byte(mySecret), nil
	}); err != nil {
		return
	}

	// 从旧的token解析出claims数据
	var claims = new(MyClaims)
	_, err = jwt.ParseWithClaims(aToken, claims, func(token *jwt.Token) (interface{}, error) {
		return []byte(mySecret), nil
	})
	v, _ := err.(*jwt.ValidationError)
	if v.Errors == jwt.ValidationErrorExpired {
		return GenAccessToken(claims.UserName,claims.Role)
	}
	return
}

middleware/auth.go

package middleware

import (
	"github.com/gin-gonic/gin"
	myJwt "casbin_test/pkg/jwt"
	"net/http"
)

func JWTAuthMiddleWare() gin.HandlerFunc {
	return func(ctx *gin.Context) {
		// 获取前端传回的token(传递方式不同,获取的位置也不同,根据实际情况选择)
		authHeader := ctx.Request.Header.Get(myJwt.AcceptTokenKey)
		// 无token直接返回错误
		if authHeader == "" {
			ctx.JSON(http.StatusOK, gin.H{
				"success": false,
				"msg":     "未登录或非法访问",
			})
			// 校验失败终止后续操作
			ctx.Abort()
			return
		}
		// 解析token
		claims, err := myJwt.ParseToken(authHeader)
		// 错误处理
		if err != nil {
			ctx.JSON(http.StatusOK, gin.H{
				"success": false,
				"msg":     err.Error(),
			})
			ctx.Abort()
			return
		}
		// 将claim加入上下文,便于后续使用
		ctx.Set("userClaim", claims)
		ctx.Next()
	}
}

middleware/permission.go

package middleware

import (
	"casbin_test/dao"
	myJwt "casbin_test/pkg/jwt"
	"github.com/gin-gonic/gin"
	"net/http"
)

func PermissionMiddleWare() gin.HandlerFunc {
	return func(c *gin.Context) {
		// 获取claim
		claim := c.MustGet("userClaim").(*myJwt.MyClaims)
		e := dao.Casbin()
		// 检查用户权限
		isPass, err := e.Enforce(claim.Role, c.Request.URL.Path, c.Request.Method)
		if err != nil {
			c.JSON(http.StatusOK, gin.H{
				"success": false,
				"msg":     err.Error(),
			})
			c.Abort()
			return
		}
		if isPass {
			c.Next()
		} else {
			c.JSON(http.StatusOK, gin.H{
				"success": false,
				"msg":     "无此权限",
			})
			c.Abort()
			return
		}
	}
}

models/users.go

package models

type LoginReq struct {
	UserName string `form:"username" binding:"required"`
	Password string `form:"password" binding:"required"`
}

controler/user.go

package controler

import (
	"casbin_test/models"
	myJwt "casbin_test/pkg/jwt"
	"github.com/gin-gonic/gin"
	"github.com/gin-gonic/gin/binding"
	"net/http"
)

var (
	name1       = "熊大"
	name2       = "熊二"
  name3       = "光头强"
	nameRoleMap = map[string]string{
		"熊大": "superTest",
		"熊二": "admin",
		"光头强": "staff",
	}
)

// 模拟登陆
func Login(c *gin.Context) {
	var u = new(models.LoginReq)
	err := c.ShouldBindWith(u, binding.Form)
	if err != nil {
		c.JSON(http.StatusOK, gin.H{
			"success": false,
			"msg":     "参数错误",
		})
		return
	}
	if u.UserName == name1 || u.UserName == name2 || u.UserName == name3 && u.Password == "123456" {
		// 获取token
		token, err := myJwt.GenAccessToken(u.UserName, nameRoleMap[u.UserName])
		if err != nil {
			c.JSON(http.StatusOK, gin.H{
				"success": false,
				"msg":     "对不起我崩了!",
			})
		}
		c.JSON(http.StatusOK, gin.H{
			"success": true,
			"msg":     "登陆成功",
			"data":    token,
		})
	} else {
		c.JSON(http.StatusOK, gin.H{
			"success": false,
			"msg":     "用户名或密码错误!",
		})
	}

}

main.go

package main

import (
	"casbin_test/controler"
	"casbin_test/dao"
	"casbin_test/middleware"
	"github.com/gin-gonic/gin"
	"log"
	"runtime"
)

func main() {
	err := dao.Init()
	if err != nil {
		log.Fatal(err.Error())
	}
	runtime.SetFinalizer(dao.MDB, dao.CloseMysql)
	router := gin.Default()
	r := router.Group("/api")
	r.POST("/login", controler.Login)
	r.Use(middleware.JWTAuthMiddleWare()).Use(middleware.PermissionMiddleWare()) // 测试时可先注释,先添加规则
	r.POST("/addcasbin",controler.AddPHandler)

	router.Run(":8081")

}

四、使用postman测试效果

此时我预先只配置了一个规则:

在这里插入图片描述

模拟登录中预设的user和role对应关系为:

在这里插入图片描述

按照匹配的规则,应该只有熊二可以执行/api/addcasbin,但是由于在匹配其中增加了r.sub==“superTest”,所以熊大不需要经过校验就能获取该资源

看看postman测试结果是否和我们配置的一致:

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Iron_Huang
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
JAVA的对象访问定位
Linux,Java,SpringBoot,Python,Lua略知一点
10-23 238
创建对象是为了访问对象,Java程序通过栈的引用(reference)数据来操作堆上的对象。由于reference类型在Java虚拟机规范中只规定了一个指向对象的引用。并没有规定通过该引用怎么定位,访问堆中的对象。具体需要看虚拟机的实现。 两种访问方式: 句柄访问 直接访问 句柄访问 Java堆中会划分一个句柄池,reference存储的就是对象的句柄地址,而句柄中存放的是对象的实例数据和类型数据的地址信息。 直接访问 Java堆对象布局就必须考虑如何存放访问类型数据的相关信息,referenc
权限管理的实现方法之菜单权限与角色权限
Jupite_ch的博客
07-30 7680
随着spring cloud项目越做越多,接触到很多以前没接触过的知识。 这次接触到的是权限管理方面的任务。 我涉及到的权限管理分为一下几种: 1、菜单权限 2、角色权限 3、接口权限 4、数据权限 无论是什么类型的权限,数据库的设计极为重要!! 这次先分享一下菜单权限、角色权限的实现以及数据库的设计 首先是菜单的数据库设计: 字段名 类型 注释 menu_id int 菜单Id menu_name varchar 菜单名称 menu_key varchar 菜单标识 comp
Go: Gin框架中的binding验证器使用指南
最新发布
十年运维开发经验的王义杰在此分享自己的知识和经验
05-30 1356
Gin是一个用Go语言编写的高性能Web框架,具有简单易用、速度快、灵活性高等特点。Gin通过中间件机制扩展功能,支持路由、参数解析、数据绑定和验证等功能,非常适合开发RESTful API。Ginbinding包提供了一组功能,用于将请求的数据自动绑定到结构体,并根据结构体标签进行数据验证。常用的标签有binding和validate,通过这些标签可以指定数据的类型和验证规则。
基于Gin+Vue+ElementUI低代码开发平台
weixin_50196917的博客
03-05 1557
是一款基于Golang、Gin、Xorm、Vue、ElementUI、MySQL等技术栈开发平台框架,拥有完善的(RBAC)权限架构和基础核心管理模块,为了缩短研发周期,系统框架集成了代码生成器,内置平台自定义研发的模板引擎,可以一键CRUD生成整个模块的全部代码,本框架为一站式系统框架开发平台,可以帮助开发者提升开发效率、降低研发成本,同时便于后期的系统维护升级。......
gin-vue-admin菜单配置教程:父子菜单
学亮编程手记
12-03 964
新建菜单 角色管理 配置角色对菜单的权限 父子菜单 点击点我设置按钮自动填充 选择父节点ID为刚才创建的测试父子菜单 菜单就挪过去了:
gin context和官方context_1 Go语言 系列讲座:Gin+Jwt+casbin RestFul Api 后端一战到底
weixin_31924507的博客
12-27 1091
1: Gin Context 详解标准Contextgolang 1.7 中官方给出了Context实现, 尤其在Gin中 其中点是可以链式传递共享变量. 我们只所以先讲Context, 是为了大家便于理解 Gin中如何将jwt 的token ID ,以及用户ID . 保存到 自定义的context中. 或者TraceID. 这样在后面的多个Goroutine中 共享, 另外一个重点是这些都是基于...
gin-admin-api:基于gin框架的admin后台接口,实现jwt,casbin等基础权限管理
03-31
本文将深入探讨如何利用Gin框架,一个快速、简洁且功能丰富的Go语言Web开发框架,来构建具备JWT(JSON Web Token)用户认证和Casbin权限管理的Admin后台接口。 Gin框架是Go语言中的一个热门选择,其设计灵感来源于...
golang 网络框架gin使用方法
09-18
本文将深入讲解Gin框架使用方法,帮助你更好地理解和应用它。 首先,让我们从一个简单的“Hello, World”示例开始。在Gin中,我们可以通过以下方式创建一个基本的HTTP服务器: ```go package main import ...
gin-admin:基于Gin + Gorm + Casbin + Wire的RBAC脚手架
04-29
Gin Admin 基于 GIN + GORM + CASBIN + WIRE 实现的RBAC权限管理脚手架,目的是提供一套轻量的中后台开发框架,方便、快速的完成业务需求的开发。特性遵循 RESTful API 设计规范 & 基于接口的编程规范基于 GIN 框架...
Golang-Gin框架示例二十多个源码
04-26
Gin框架基于Martini框架设计,使用了 httprouter 库作为路由解析器,提供了高性能的路由处理能力。在这个“Golang-Gin框架示例二十多个源码”中,你可以深入理解并学习如何利用Gin来构建各种类型的Web应用程序。 ...
gin-web:由gin + gorm + jwt + casbin组合实现的RBAC权限管理脚手架Golang版, 搭建完成即可快速、高效投入业务开发
04-30
Gin Web由gin + gorm + jwt + casbin组合实现的RBAC权限管理脚手架Golang版, 搭建完成即可快速、高效投入业务开发特性RESTful API 设计规范Gin 一款高效的golang web框架MySQL 数据库存储Jwt 用户认证, 登入登出一键...
gin 框架基于中间件的身份验证和权限验证
weapon_host的博客
02-23 2453
本模块创作基于gin 框架路由匹配和Django 的身份验证和权限验证创作的,目前主要实现了身份验证,基于路由配置自动匹配需要验证的路由,另外可以通过配置实现不同路由匹配不同身份验证方式 . git地址: https://github.com/xxxxxxming/authtest 后续有时间持续更新该模块 模块主要由三个文件组成,分别是路由处理,身份认证,中间件拦截. 代码如下: 1. 路由处理,包含路由数创建和路由解析 package utils import ( "bytes" "str
【不断更新】Go-admin学习小结(gorm+gin+swagger+casbin
qq_44330459的博客
10-16 3100
go-admin学习 goland使用 swagger api jwt鉴权 gorm使用 postman在token情况下测试
go-casbin学习
weixin_41914013的博客
10-19 928
casbin权限这一块做的挺全面,覆盖的权限模型基本上满足日常开发使用,包括RBAC,ABAC,ACL,Restful等模型。简单学习即可上手开发。熟练掌握各种模式,和casbin的api使用,在项目中可以解决权限的大部分问题。
[golang gin框架] 43.Gin商城项目-微服务实战之后台Rbac微服务之管理员的增删改查以及管理员和角色关联
zhoupenghui168的博客
07-30 1145
微服务实战之权限管理Rbac管理员增删改查微服务功能
Gin 框架之jwt 介绍与基本使用
淘小欣的博客
01-27 1409
JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密除了上面的字段, 你自己也可以添加自己想要的字段, 需要注意的是:这些信息是不加密的, 所以最好不要存敏感信息import (
使用GORM集成Casbin基于RBAC模型,实现鉴权
c0210g的博客
01-28 720
Casbin鉴权是真的方便.
gin框架自带的一些的鉴定权限机制 session cookie
abcnull 的博客
02-08 2671
文章目录gin.Cookie() 使用gin.BasicAuth() 中间件github.com/gin-contrib/sessions 包实际生产中使用鉴权方式 gin.Cookie() 使用 下面的小例子可以使用 postman 来请求,只要服务启动了,其实主要就是 Cookie 函数来拿到请求头的 value,用 SetCookie 函数来设置 cookie 的 value func main() { r := gin.Default() r.Get("/cookie", handler.M
Casbin Demo实例(支持CSV和MySQL两种策略规则)
sserf的专栏
07-14 3521
Casbin 帮助文档地址:https://casbin.org/docs/zh-CN/how-it-works 常见的设计模式(DAC,MAC,RBAC,ABAC) 0.基于权限的角色控制 RBAC 1.基于属性的权限验证(ABAC: Attribute-Based Access Control) 创建一个Casbin决策器需要有一个模型文件和策略文件为参数: 特性: 1.支持自定义请求的格式,默认的请求格式为{subject, object, action}。 2.具有访问控制模型model和策略po
gin框架使用minio
07-28
在提供的引用中,没有提到关于gin框架使用minio的信息。因此,我无法回答关于gin框架使用minio的问题。如果您有其他关于gin框架或minio的问题,我将很乐意帮助您回答。 #### 引用[.reference_title] - *1* *2* *3* [Go语言 gin框架集成Casbin实现访问权限控制](https://blog.csdn.net/weixin_37717557/article/details/108983361)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值