casbin的详细理解过程(附图片理解)(rbac模型)

已于 2023-10-13 14:42:54 修改
阅读量1.7w 收藏 34
点赞数 12
文章标签: 后端 java golang 开发语言 分布式
于 2022-03-23 22:36:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51991615/article/details/123696937
版权

一、casbin模型

casbin模型又叫PERM模型: subject(sub 访问实体),object(obj访问的资源)和action(act访问方法)eft(策略结果,一般为空 默认指定allow)还可以定义为deny

1)Policy策略 ——— p = {sub, obj, act, eft}

1、策略一般存储到数据库,因为会有很多

2、

[policy_definition] p = sub, obj, act


2)Matchers 匹配规则 Request和Policy的匹配规则

1、

m = r.sub == p.sub && r.act == p.act && r.obj == p.obj

2、r 请求 p 策略

3、这时候会把r和p按照上述描述进行匹配,从而返回匹配结果(eft)如果不定义会返回allow,如果定义过了,会返回我们定义过的那个结果


3)Effect影响

1、它决定我们是否可以放行
e = some(where(p.eft == allow)) 这种情况下我们的一个matches匹配完成,得到了allow那么这条请求将被放行

e = some(where(p.eft == allow)) && !some(where(p.eft == deny))

​ 这里的规定是定死的


4)Requset请求 r = {sub, obj, act}

下面我们图解用法:
请添加图片描述

运行这个run the test,可以发现,为true。因为在第一行,alice有读的操作。(见图一)但是我们将read改为write,返回的就是false。(见图二)

请添加图片描述

(图一)

请添加图片描述

(图二)


二、role_definition 角色域

1)g = _ , _ 表示以角色为基础

请添加图片描述

带角色域匹配,alice可以 == data2_admin使用,alice也可以是他自己

2)g = _ , _ , _ 表示以域为基础(多商户模式)


三、用俗语解释一下上面代码

以角色为基础

[request_definition]

r = sub, obj, act

意思:请求入参(实体,资源,方法)


[policy_definition]

p = sub, obj, act

意思:策略(实体,资源,方法)


[role_definition]

g = _ , _

意思:这个情况下,g写什么都可以,毕竟match里面根本没有涉及到g,不过我们规范一点,按照角色权限,这里的意思是g收到两个参数 g = 用户,角色


[policy_effect]

e = some(where (p.eft == allow))

意思:看看经过下面那些匹配规则后的返回值是否有一条等于里面那个allow

[matchers]

m = r.sub == p.sub && ParamsMatch(r.obj, p.obj) && r.act == p.act

意思:进来的实体,资源,方法,能不能在权限表(p)里面找到一个一模一样的


四、多租户模型

[request_definition] r = sub, dom, obj, act

意思:入参(实体,域【商户】,资源,方法)

[policy_definition] p = sub, dom, obj, act

意思:权限模型(实体,域【商户】,资源,方法)

[role_definition] g = _ , _ , _

意思:域匹配规则,后面g会说,这里意思是g收三个参数

[matchers] m = g(r.sub, p.sub, r.dom) && r.dom == p.dom && r.obj == p.obj && r.act == p.act

请添加图片描述

先列出来一个权限定义里面的东西

g, qm, teacher, classOne

然后用g做一些解析动作

一般我们会收到前端的入参, 大概是这个样子:“qm",“classOne”,“/base/api/”,“get”

上面我们定义的g就是我们需要的模型,经过g以后,g已经把我们的入参 qm 解析成了 r.sub 为 teacher r.rom 为classone先从这个商户找一下角色,找到就过了,然后用dom去匹配,然后用一个类似于这样的请求,去策略里面找teacher,classOne, /api/base,get

请添加图片描述

四、练习测试

1、在ACL模型中,下列案例可以通过吗

请添加图片描述

答案:false,根本找不到


2、在RBAC模型中,下列案例是否可以通过?

请添加图片描述

答案:true

那假如在添加一条:bob,data2,write可以通过吗?

答案:true,因为bob,data2,write本身就有这一条操作

再添加一条记录,如下图所示

请添加图片描述


3、多商户模型

请添加图片描述

在这个案例中,alice和domain2找到了admin,但是,domain2找不到data1,所以是false

对于g的理解:g:人-组-域,区别看,人可以进多个组多个域,但是data1/data2有不同权限来判断

走,我们去吹风
关注
casbin简介
douke0320的博客
08-23 928
介绍一下casbin
gin框架学习-Casbin入门指南(ACL、RBAC、域内RBAC模型)
林钟一的博客
07-13 2866
gin框架学习-Casbin入门指南(ACL、RBAC、域内RBAC模型)
casbin基于RBAC模型实现权限管理
个人学习笔记库,一篇一篇记录成长的足迹
05-22 1795
数据表形式存储权限表,实现权限管理。
Casbin简单介绍、使用场景以及使用步骤
damokelisijian866的博客
07-05 798
Casbin是一个强大的、高效的开源访问控制框架,其权限管理机制支持多种访问控制模型,包括ACL(访问控制列表)、RBAC(基于角色的访问控制)和ABAC(基于属性的访问控制)等。
Casbin 项目教程
gitblog_00417的博客
08-12 267
Casbin 项目教程 casbin项目地址:https://gitcode.com/gh_mirrors/cas/casbin 1. 项目的目录结构及介绍 Casbin 是一个强大的访问控制库,支持多种访问控制模型。以下是 Casbin 项目的主要目录结构及其介绍: casbin/ ├── .github/ # GitHub 相关配置文件 ├── config/ ...
casbin 记录
Autosq的博客
06-07 1883
Casbin是一个开源的访问控制框架,它提供了一种灵活、模块化的方法来处理权限管理。Casbin特别适用于需要细粒度访问控制的系统,例如企业应用、网络服务、分布式系统等。
golang每日一库——casbin开源的访问控制框架
最新发布
e891377的专栏
08-23 1059
部分用于request的定义,它明确了函数中参数的含义。表示经典三元组: 访问实体 (Subject),访问资源 (Object) 和访问方法 (Action)。但是, 你可以自定义你自己的请求表单, 如果不需要指定特定资源,则可以这样定义sub、act,或者如果有两个访问实体, 则为。这些是我们对policy规则的具体描述policy部分的每一行称之为一个策略规则, 每条策略规则通常以形如pp2的开头。如果存在多个policy定义,那么我们会根据前文提到的与具体的某条定义匹配。TIP。
casbin模型
Qiaoshurui的博客
06-13 404
subject(sub访问实体),object (obj访问的资源) 和 action (act访问的方法) eft (策略结果 一般为空,默认指定allow) 还可以定义为denyp:策略 一般存储到数据库,因为会有很多 m:匹配规则 会把r和p按照匹配原则进行匹配,从而返回匹配结果 (eft)如果不定义会返回allow 如果定义过了,会返回我们定义过的那个结果 r:请求 e:影响 这里的规定是定死的 role_definition 角色域 g= _ , _ 表示以角色为基础,前者是后者
Casbin入门
ckckckcckckc的博客
10-29 846
Casbin的基本概念以及入门测试
Casbin】一篇文章入门Casbin
m0_53328239的博客
12-02 2683
Policy 就是一种定义,它界定了策略的含义。[policy_definition] //定义policy.csv存储到数据库中策略一般会存储到数据库,因为会有很多策略eg:在本例中,sub、obj和act代表经典的访问三元组:主题(访问实体)、对象(访问资源)和操作(访问方法)。但是,我们也可以自定义自己的请求格式。例如,如果不需要指定特定的资源,可以使用sub, act;如果有两个访问实体,可以使用。
casbin-cpp:一个授权库,支持CC ++中的访问控制模型,如ACL,RBAC,ABAC
02-01
RBAC模型将权限与角色关联,而非直接与用户关联。用户通过被分配不同的角色来获取相应的权限。这简化了权限管理,因为只需要维护角色和其关联的权限,而无需单独管理每个用户的权限。在Casbin-CPP中,你可以创建多个...
认证和授权(Oauth2、RBACCasbin、Spring Security Oauth2)
05-08
RBAC模型中,权限与角色相关联,用户通过成为某个角色的成员来获得角色的权限。 Casbin 是一个开源的权限控制框架,它支持多种访问控制模型,如基于角色的访问控制(RBAC)、基于属性的访问控制(ABAC)等,并...
jcasbin1.7.1源码注释版本,增加了自己的理解
10-21
**正文** `jCasbin` 是一个强大的...同时,也可以参与社区讨论,解决实践过程中遇到的问题,不断提升对访问控制和权限管理的理解。这个注释版的源码对于想要学习和使用`jCasbin`的开发者来说,无疑是一份宝贵的资源。
Go-casbin支持混合访问控制模型的授权框架
08-14
RBAC模型将权限与角色关联,用户通过扮演不同的角色获得相应的权限。Go-casbin支持多级角色和角色继承,使得权限管理更加层次化和模块化。例如,可以定义`admin`角色拥有所有权限,`editor`角色可以编辑内容,`...
PHP-Casbin
Raul__7的博客
05-28 419
https://github.com/php-casbin/php-casbin
RBAC鉴权】node-casbin基础教程
IT飞牛
05-02 1174
RBAC鉴权,完整的英文描述是:Role-Based Access Control,中文意思是:基于角色(Role)的访问控制。这是一种广泛应用于计算机系统和网络安全领域的访问控制模型。简单来说,就是通过将权限分配给➡角色,再将角色分配给➡用户,来实现对系统资源的访问控制。一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。
Go Casbin 入门
qq_21047625的博客
06-26 774
Go Casbin 是一个非常强大和灵活的访问控制框架,它可以帮助您轻松实现各种访问控制模型。在本文中,我们介绍了 Go Casbin 的一些基本概念和用法,希望对您有所帮助。如果您想深入了解 Go Casbin,请访问 Casbin 的官方网站或查看其文档。
权限管理demo rbac casbin
09-01
你想要了解有关权限管理的演示,使用的是基于角色的访问控制(RBAC)和 Casbin 的解决方案。Casbin 是一个强大的授权库,它提供了灵活的访问控制模型和规则引擎。下面是一个简单的 RBACCasbin 的权限管理演示: 1. 安装 Casbin: ``` pip install casbin ``` 2. 创建一个示例访问控制模型(model.conf),定义了用户、角色、资源和操作: ``` [request_definition] r = sub, obj, act [policy_definition] p = sub, obj, act [role_definition] g = _, _ [policy_effect] e = some(where (p.eft == allow)) [matchers] m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act ``` 3. 创建一个权限管理策略文件(policy.csv),定义了角色与资源的访问权限: ``` p, alice, data1, read p, bob, data2, write g, alice, admin ``` 4. 在 Python 中使用 Casbin 进行权限验证: ```python from casbin import Enforcer # 加载访问控制模型和策略文件 enforcer = Enforcer("model.conf", "policy.csv") # 验证用户的访问权限 if enforcer.enforce("alice", "data1", "read"): print("alice 有读取 data1 的权限") else: print("alice 没有读取 data1 的权限") if enforcer.enforce("bob", "data2", "write"): print("bob 有写入 data2 的权限") else: print("bob 没有写入 data2 的权限") ``` 这只是一个简单的 RBACCasbin 的权限管理演示,你可以根据实际需求自定义更复杂的访问控制模型和策略。希望这个演示对你有帮助!如果你对 Casbin 想要了解更多信息,可以参考官方文档:https://casbin.org/
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值