casbin轻量级的基于配置的授权框架

最新推荐文章于 2024-09-19 09:27:23 发布
最新推荐文章于 2024-09-19 09:27:23 发布
阅读量2.2k 收藏 6
点赞数
分类专栏: # 中间件 文章标签: golang casbin
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xwh3165037789/article/details/130553575
版权

简介

Casbin是一个强大的、高效的开源访问控制框架,其权限管理机制支持多种访问控制模型。

Casbin提供了一个执行者 根据提供给执行者的策略和模型文件验证传入的请求。再根据对应的配置授权策略,验证请求判断释放那些行动。

在 Casbin 中, 访问控制模型被抽象为基于 PERM (Policy, Effect, Request, Matcher) 的一个配置文件。PERM模式由四个基础(策略、效果、请求、匹配)组成,描述了资源与用户之间的关系。通过配置文件对用户授权更方便授权系统的更改和迭代。

Casbin使用配置文件来设置访问控制模式。

工作原理

访问控制模型PERM是casbin的权限机制,通过4个对象Policy, Effect, Request, Matcher描述了资源的关系。

请求

定义请求参数。 基本请求是一个元组对象,至少需要访问实体(Subject)、访问资源(Object) 和访问方式(Action)。

请求是访问携带的对象,携带用户访问权限。

r = sub, obj, act

策略

policy部分的每一行称之为一个策略规则, 每条策略规则通常以形如p, p2的policy type开头。策略定义了匹配模式。不同的模式需要满足不同的匹配规则。

p = sub, obj, act
p2 = sub, act

规则

匹配请求和匹配策略的比较规则,不同的匹配策略比较方式不同。

m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

在策略中定义了p和p2两种匹配模式,匹配规则中定义了请求和p策略的比较规则。

效果

效果是匹配结果的判断。

e = some (where (p.eft == allow))

匹配策略p没有定义匹配结果eft,但是每个匹配规则都会默认存在匹配结果。

这些规则的定义都是casbin支持的访问控制模型。这个模型的名称叫ACL。另外casbin还支持其他很多模型如RBAC,ABAC等。

一个完整的ACL模型如下:

# casbin请求格式
[request_definition]
r = sub, obj, act

# casbin策略模式
[policy_definition]
p = sub, obj, act
p2 = sub, act

# casbin测率匹配结果
[policy_effect]
e = some(where (p.eft == allow))

# casbin率略匹配规则
[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

[request_definition]类似定义是声明请求等对象不可缺少。在ACL模型中至少需要访问实体(Subject)、访问资源(Object) 和访问方式(Action)。命名不仅限于sub,obj,act,只要请求和策略和匹配对应即可。

上述的ACL模型表示的含义是定义了sub, obj, act为匹配对象的p策略;定义请求p需要按照策略的格式携带参数;定义匹配规则m对请求参数匹配请求策略;最好返回匹配结果e。

这些过程都是casbin框架自主完成的,只需要使用casbin提供的接口就可以按规则传入参数并得到匹配结果。但是访问权限控制的这些规则需要定义,因为官方提供了众多规则模型,需要开发者自己选择合适的模型。

规则模型定义子在conf文件中,model.conf:

# casbin请求格式
[request_definition]
r = sub, obj, act

# casbin策略模式
[policy_definition]
p = sub, obj, act
p2 = sub, act

# casbin测率匹配结果
[policy_effect]
e = some(where (p.eft == allow))

# casbin率略匹配规则
[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

在这里插入图片描述

策略授权

访问权限控制模型已经定义了,就需要定义具体的用户授权了,该步骤是将实际的用户与匹配规则联系起来。

casbin使用配置来控制访问权限,授权机制使用csv文件。police.csv

p,xiaoxu,data1,read
p,zhangsan,data2,write

上述匹配规则下p模式,xiaoxu用户可以访问,data1,访问限制为read;zhangsan用户可以访问data2,访问权限为write。

案例

简单案例
在这里插入图片描述

主函数如下:

package main

import (
	"fmt"
	"github.com/casbin/casbin/v2"
)

func main() {
	e, err := casbin.NewEnforcer("model.conf", "policy.csv")
	if err != nil {
		println(err)
		return
	}
	enforce, err := e.Enforce("xiaoxu", "data1", "read")
	if err != nil {
		println(err)
	}
	fmt.Println("访问权限结果", enforce)

}

casbin.NewEnforcer()方法加载模型和授权策略,返回casbin.Enforcer对象,改对象的e.Enforce方法传入用户的请求,返回是否有访问权限。

main函数的执行结果为true,表示"xiaoxu", “data1”, "read"满足匹配策略有访问权限。
在这里插入图片描述

如果将用户名修改为在policy.csv没有相应的配置,就会返回false表示没有权限访问。

gin框架中间件整合casbin

package main

import (
	"github.com/casbin/casbin/v2"
	"github.com/gin-gonic/gin"
)

func main() {
	/*
		e, err := casbin.NewEnforcer("model.conf", "policy.csv")
		if err != nil {
			println(err)
			return
		}
		enforce, err := e.Enforce("xiaoxu1", "data1", "read")
		if err != nil {
			println(err)
		}
		fmt.Println("访问权限结果", enforce)
	*/
	
	//gin路由

	engine := gin.Default()
	engine.GET("/data1", casbinAuth(), func(context *gin.Context) {
		context.String(200, "data1")
	})
	engine.GET("/data2", casbinAuth(), func(context *gin.Context) {
		context.String(200, "data2")
	})
	engine.GET("/data3", casbinAuth(), func(context *gin.Context) {
		context.String(200, "data3")
	})

	engine.Run("127.0.0.1:8080")
}

//定义权限中间件

func casbinAuth() gin.HandlerFunc {
	return func(context *gin.Context) {
		var req CasbinRequest
		context.ShouldBindJSON(&req)
		if casBin(req.Sub, req.Obj, req.Act) {
			context.Next()
		} else {
			context.Next()
			context.String(503, "没有权限访问!")
		}
	}
}

//定义casbin模型

func casBin(sub, obj, act string) bool {
	e, err := casbin.NewEnforcer("model.conf", "policy.csv")
	if err != nil {
		println(err)
		return false
	}
	enforce, err := e.Enforce(sub, obj, act)
	if err != nil {
		println(err)
		return false
	}
	return enforce
}

type CasbinRequest struct {
	Sub  string `json:"sub"`
	Obj  string `json:"obj"`
	Act  string `json:"act"`
	Data string `json:"data"`
}

请添加图片描述

通过gin的中间价调用casbin的方法判断是否有访问权限。

将权限配置做如下修改:

p,xiaoxu,data1,read
p,xiaoxu,data1,write

p,xiaoxu,data2,write

p,xiaoxu,data3,read


p,zhangsan,data2,read
p,zhangsan,data3,read

请添加图片描述

在实际项目中policy.csv的配置显然是不合适的,在web项目中,权限对应的是api接口,那么就需要与当前地址匹配,判断用户权限。

在上面权限验证的过程中忽略了一个问题,就是casbin.NewEnforcer是验证式策略,只要plicy.csv中配置存在就会返回true,那么将Sub看作用户,Obj看作资源,Act看作接口即可实现权限配置。如下重构的代码:

package main

import (
	"github.com/casbin/casbin/v2"
	"github.com/gin-gonic/gin"
	"strings"
)

func main() {
	engine := gin.Default()
	engine.GET("/data1/list", casbinAuth(), func(context *gin.Context) {
		context.String(200, " data1 list ...")
	})
	engine.GET("/data1/add", casbinAuth(), func(context *gin.Context) {
		context.String(200, "data1 add ...")
	})
	engine.GET("/data1/delete", casbinAuth(), func(context *gin.Context) {
		context.String(200, "data1 delete  ...")
	})
	engine.GET("/data1/update", casbinAuth(), func(context *gin.Context) {
		context.String(200, "data1 update ...")
	})
	engine.GET("/data2/list", casbinAuth(), func(context *gin.Context) {
		context.String(200, "data2 list  ...")
	})
	engine.GET("/data2/add", casbinAuth(), func(context *gin.Context) {
		context.String(200, "data2 add ...")
	})
	engine.GET("/data2/delete", casbinAuth(), func(context *gin.Context) {
		context.String(200, "data2 delete  ...")
	})
	engine.GET("/data2/update", casbinAuth(), func(context *gin.Context) {
		context.String(200, "data2 update ...")
	})

	engine.Run("127.0.0.1:8080")
}

//定义权限中间件

func casbinAuth() gin.HandlerFunc {
	return func(context *gin.Context) {
		var req Username
		context.ShouldBindJSON(&req)
		//获取路径地址
		path := context.FullPath()
		split := strings.Split(path, "/")
		//fmt.Println(split)
		sub := req.Username
		obj := split[1] //请求的资源
		act := split[2] //请求资源的权限
		//
		if casBin(sub, obj, act) {
			context.Next()
		} else {
			context.Next()
			context.String(503, "没有权限访问!")
		}
	}
}

//定义casbin模型

func casBin(sub, obj, act string) bool {
	e, err := casbin.NewEnforcer("model.conf", "policy.csv")
	if err != nil {
		println(err)
		return false
	}
	enforce, err := e.Enforce(sub, obj, act)
	if err != nil {
		println(err)
		return false
	}
	return enforce
}

type Username struct {
	Username string `json:"username"`
}

policy.csv如下:

p,xiaoxu,data1,list
p,xiaoxu,data1,add
p,xiaoxu,data1,delete
p,xiaoxu,data1,update


p,zhangsan,data1,list
p,zhangsan,data1,add

p,list,data2,list
p,list,data2,add
p,list,data2,delete
p,list,data2,update

data1类似的配置是配置资源,add等表示增删改查的行动,也表示uil地址。上述配置赋予了xiaoxu的增删改查的全部权限,zhansan用户只有查和增,list有data2资源的全部权限。

重构代码如下:

请添加图片描述

用户权限的配置不仅限于policy.csv文件配置,也可以使用数据库。

新建Casbin enforcer的时候 你必须提供一个 Model 和一个 Adapter。model就是model.conf,Adapter默认是 FileAdapter。如果要是hi用数据库就需要更改适配器。

更改适配器官方文档

casbin官方文档

教程文档

xvwen
关注
专栏目录
Golang访问权限控制框架casbin
geek99_guo的博客
03-19 377
Casbin 是一个强大的、高效的开源访问控制框架,其权限管理机制支持多种访问控制模型。支持的语言也很多,例如:go、java、node.js、python等等.
Golang工程组件之轻量级访问控制框架casbin
SMILY12138的博客
04-14 541
casbin还支持多语言,包括Golang、Java、Python、C++等,因此非常适合在跨平台的应用程序中使用。在上面的代码中,我们首先创建了一个casbin模型对象,并使用NewEnforcer方法指定了模型配置文件和策略文件。在Golang开发中,访问控制是一项非常重要的任务,而casbin作为一款轻量级的访问控制框架,可以帮助我们实现各种复杂的访问控制需求。casbin是一款非常实用的轻量级访问控制框架,它提供了多种访问控制模型和存储策略支持,使得应用程序可以更加安全和可靠。
Go语言的Casbin框架
m0_57836225的博客
09-10 371
Casbin 是一个强大的开源访问控制库,它提供了一种简单而灵活的方式来实现访问控制策略。请注意,这只是一个简单的示例,实际应用中可能需要根据具体需求进行更复杂的模型和策略定义。函数初始化 Casbin 对象,并使用。文件来定义授权模型,以及一个。文件来定义具体的访问控制策略。在上述示例中,我们创建了一个。在示例代码中,我们使用。
Casbin——Java版本(笔记)
weixin_46949627的博客
11-23 2750
Casbin笔记
Casbin初识
最新发布
我兜里有糖
09-19 442
Model就是一个配置文件,基于PERM metamodel (Policy, Effect, Request, Matchers),示例如下。Enforcer决定一个"subject"对一个"object"是否有"action"的权限。Policy是动态存储policy rules的,可以存在.csv文件或数据库中,示例如下。两个角色的全部权限.
casbin的详细理解过程(附图片理解)(rbac模型)
热门推荐
weixin_51991615的博客
03-23 1万+
一、casbin模型 casbin模型又叫PERM模型: subject(sub 访问实体),object(obj访问的资源)和action(act访问方法)eft(策略结果,一般为空 默认指定allow)还可以定义为deny 1)Policy策略 ——— p = {sub, obj, act, eft} 1、策略一般存储到数据库,因为会有很多 2、 [policy_definition] p = sub, obj, act 2)Matchers 匹配规则 Request和Policy的匹配规则 1、
Casbin访问控制框架入门详解及Java案例示范
javaYY_的博客
07-08 596
Casbin 是一个强大的、高效的开源访问控制框架,其权限管理机制支持多种访问控制模型。Casbin 可以:默认的请求格式为{subject, object, action}。 2. 具有访问控制模型model和策略policy两个核心概念。 3. 支持RBAC中的多层角色继承,不止主体可以有角色,资源也可以具有角色。 4. 支持内置的超级用户 例如:root 或 administrator。超级用户可以执行任何操作而无需显式的权限声明。 5. 支持多种内置的操作符,如 keyMatch,方便对路径式的资源
使用 Casbin 进行权限管理
li_yatao的博客
08-12 820
Casbin 为权限管理提供了灵活、高效的解决方案,特别适用于复杂的 RBAC 场景。通过适当的性能优化和合理的策略设计,Python 版 Casbin 也能满足大多数应用需求。
casbin-权限管理
布鲁克
04-13 711
概要 权限管理几乎是每个系统或者服务都会直接或者间接涉及的部分. 权限管理保障了资源(大部分时候就是数据)的安全, 权限管理一般都是和业务强关联, 每当有新的业务或者业务变化时, 不能将精力完全放在业务实现上, 权限的调整往往耗费大量的精力. 其实, 权限的本质没有那么复杂, 只是对访问的控制而已, 有一套完善的访问控制接口, 再加上简单的权限模型. 权限模型之所以能够简单, 就是因为权限管理本身并不复杂, 只是在和具体业务结合时, 出现了各种各样的访问控制场景, 才显得复杂. PERM 模型 PERM(P
Casbin简单介绍、使用场景以及使用步骤
damokelisijian866的博客
07-05 947
Casbin是一个强大的、高效的开源访问控制框架,其权限管理机制支持多种访问控制模型,包括ACL(访问控制列表)、RBAC(基于角色的访问控制)和ABAC(基于属性的访问控制)等。
基于casbin的多设备多用户流媒体管理框架
superxxd的专栏
04-21 482
我知道这个挑战很大,也有很多超过我的能力,但我相信在互联网深入人心,协作共享成为主流趋势的现今这个平台一定有价值,一定会有不同的人愿意来尝试并迭代并完善他,在这里我想致敬#casdoor #hotgo#goadmin是这些优秀的设计给了我启发和初步的能力。1.资源管理,包括流和设备,sdk算法等以应用的形式存在,并由提供商发布和提供支持,代理商可以加入共同推广,行业应用拓展,所有资源可以实现有控制的互联互通,通过发布订阅实现能力的共享,以数据流做为介质,自定义指纹授权管理。
PHPCasbin是一个用PHP语言打造的轻量级开源访问控制框架
08-07
PHPCasbin是一个基于PHP编程语言的轻量级访问控制框架,它专注于提供高效、灵活且易于集成的权限管理解决方案。该框架的核心设计理念是实现应用中的访问控制策略,确保只有授权的用户或服务可以访问特定的资源。...
VueCMF的PHP版后端API核心框架,基于ThinkPHP6+Casbin开发
07-23
首先,ThinkPHP6是当前版本的ThinkPHP框架,是一个轻量级的MVC(Model-View-Controller)框架,它以简洁的代码、快速的性能和强大的功能而著称。它支持 Composer 包管理器,使得开发者可以方便地引入第三方库,如...
ThinkPHP6+Casbin实现VueCMF的PHP后端API框架
ThinkPHP6是ThinkPHP系列框架的一个版本,它遵循PSR-2和PSR-4编码规范,是一个轻量级且高性能的PHP框架。它采用模块化开发,支持中间件机制,具有路由分组、中间件、异常处理、请求处理等高级特性。ThinkPHP6还在...
权限管理框架Casbin
阿斌(Ben)的博客
07-07 2695
官方网站:https://casbin.org/ github:https://github.com/casbin/casbin .net版的:https://github.com/casbin/Casbin.NET
基于 Echo + Gorm + Casbin + Uber-FX 实现的 RBAC 权限-echo-admin.zip
01-30
Uber-FX(Fiber Experiment)是Uber公司开源的一个轻量级、模块化的应用框架,用于构建微服务。虽然在本项目中没有明确指出使用Uber-FX,但我们可以推测可能用于构建应用的基础结构,提供依赖注入和日志管理等功能,...
探索Casbin论坛:一个强大的权限管理解决方案
gitblog_00080的博客
04-19 423
探索Casbin论坛:一个强大的权限管理解决方案 casibase 项目地址: https://gitcode.com/gh_mirrors/cas/casbin-forum 项目简介 是基于 Casbin...
主流身份认证授权框架介绍
zenglichuan的博客
06-19 917
CAS作为一个开放的、可扩展的、基于网络的身份认证系统,可以使用多种身份验证协议(如LDAP、Kerberos、OAuth等),支持多种身份验证方式(如用户名密码、智能卡、生物识别等),可以在不同的平台和应用之间实现单点登录、身份认证和授权管理。OpenID Connect基于OAuth 2.0,提供更安全的身份验证和授权的方式,可与SAML、JWT一起使用,用于实现跨企业的身份认证;SAML是基于XML的协议,可以与Shibboleth、LDAP一起使用,用于企业内部和跨企业之间的身份认证和断言交换;
springcloud-gateway整合jwt+jcasbin实现权限控制
xiaocai
02-08 1345
jcasbin简介:jcasbin 是一个用 Java 语言打造的轻量级开源访问控制框架casbin的Java语言版本。目前在 GitHub 开源。jcasbin 采用了元模型的设计思想,支持多种经典的访问控制方案,如基于角色的访问控制 RBAC、基于属性的访问控制 ABAC 等。jcasbin 的主要特性包括:1.支持自定义请求的格式,默认的请求格式为{subject, object, action};2.具有访问控制模型 model 和策略 policy 两个核心概念;
超简单实现项目中的Casbin鉴权
lonely__snow的博客
07-22 445
Casbin学完一头雾水? 不知道怎样在项目中使用? 看完文章你就明白了~
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xvwen

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值