casbin基于RBAC模型实现权限管理

最新推荐文章于 2024-05-02 22:36:42 发布
最新推荐文章于 2024-05-02 22:36:42 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: # 中间件 文章标签: casbin
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xwh3165037789/article/details/130802696
版权

在casbin中权限都是基于匹配规则和访问控制模型实现的,除了上一章的ACL的实现方式,还有一个常用的访问控制模型RBAC。该模型带上了用户角色,基本满足大多数角色管理的系统。

在RBAC模型中多了一个角色的策略机制,其访问模型规则如下所示:

# 请求格式
[request_definition]
r = sub, obj, act


# 策略
[policy_definition]
p = sub, obj, act

# 账户和角色
[role_definition]
g = _, _

# 效果
[policy_effect]
e = some(where (p.eft == allow))

# 匹配规则
[matchers]
m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act

在该访问模型中,策略policy_definition规定了请求的格式,策略是通行访问权限的第一步,请求定义request_definition是依赖策略的,请求向外暴露,用于接收外部传递的访问参数,框架在于策略对比,符合policy_definition的定义才能到下一步。

p,xiaoxu,data1,add
p,xiaoxu,data1,delete
p,xiaoxu,data1,update

在规则中定义若干匹配规则,p表示声明,其后为定义的sub,obj,act;在使用时request_definition负责于程序对接,将参数传递到请求中即对应的r.sub,r,obj,r.act;之后在上述定义的规则中查询若存在则同行。

policy_definition只是定义了策略,实际的值需要需要定义,包含两种定义方式一种是配置csv文件,通过程序读取;另一种是存档到数据库程序查询。

role_definition是定义用户和角色的,第一个参数为用户,第二个参数为角色,由于两部分都是用户自定义的因此此处为占位符。其匹配原理和policy_definition策略一样。其实际的值定义也可以使用csv配置文件和数据库。

p, alice, data1, read
p, bob, data2, write
p, data2_admin, data2, read
p, data2_admin, data2, write

g, alice, data2_admin

在规则定义中,p定义策略的实际变量,g定义角色的实际变量。这里需要注意的是p规则定义时,sub的值可以时用户也可以时校色,因为其模型定义的sub是访问实体。

有了角色管理后matchers匹配规则也需要加入响应的规则,来实现:

m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act

在校色匹配规则中必须满足g(r.sub, p.sub) 的用户和角色的配置。

p, alice, data1, read
p, bob, data2, write
p, data2_admin, data2, read
p, data2_admin, data2, write

g, alice, data2_admin

更多移步

The system cannot find the path specified

casbin作为访问权限控制的框架的基本步骤:

  1. 配置访问控制模型
  2. 配置策略(csv文件或者数据库)
  3. 程序中变量于策略按照模型规则匹配
  4. 访问放行逻辑与阻止逻辑

在这里插入图片描述

// modle.conf

[request_definition]
r = sub, obj, act

[policy_definition]
p = sub, obj, act

[role_definition]
g = _, _

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act

//策略csv

p, alice, data1, read
p, bob, data2, write
p, data2_admin, data2, read
p, data2_admin, data2, write

g, alice, data2_admin

//程序中casbin
package main

import (
	"fmt"
	"github.com/casbin/casbin/v2"
)

// 定义casbin模型
func casBin(sub, obj, act string) bool {
	e, err := casbin.NewEnforcer("rbac/model.conf", "rbac/policy.csv")
	if err != nil {
		println(err.Error())
		return false
	}
	enforce, err := e.Enforce(sub, obj, act)
	if err != nil {
		println(err.Error())
		return false
	}
	return enforce
}

func main() {
	bin := casBin("alice", "data2", "read")
	fmt.Println(bin)
}

casbin框架会自动识别加载的配置文件的框架。

通过策略配置的方式在一定条件下是有局限性的,因为角色管理的权限是动态的,这样使用配置文件比较繁琐,使用数据库存储更加方便。

在策略文件中,使用存储方式为csv,格式如下:

p, data2_admin, data2, read
p, data2_admin, data2, write
g, alice, admin

在数据库中存储用二维表表示:
在这里插入图片描述

id: 仅存在于数据库中作为主键。 不是级联策略 的一部分。 它生成的方式取决于特定的适配器
ptype: 它对应 p, g 等等。
v0-v5: 列名称没有特定的意义, 并对应 policy csv 从左到右的值。 列数取决于自定义的数量。

在Casbin中,策略存储作为adapter(Casbin的中间件) 实现。 Casbin用户可以使用adapter从存储中加载策略规则 (aka LoadPolicy()) 或者将策略规则保存到其中 (aka SavePolicy())。

基于xorm的适配器

数据库实现步骤:

  1. 选用orm框架配置数据库适配器
  2. casbin的enforcer加载模型和数据库适配器
  3. 构建权限表
  4. 权限表与用户表绑定实现权限认证
package main

import (
	"fmt"
	"github.com/casbin/casbin/v2"
	xormadapter "github.com/casbin/xorm-adapter/v2"
	_ "github.com/go-sql-driver/mysql"
	"log"
)

var enfocer *casbin.Enforcer

func init() {
	a, err := xormadapter.NewAdapter("mysql", "root:root@tcp(127.0.0.1:3306)/test?charset=utf8", true)
	if err != nil {
		log.Printf("连接数据库错误:%v", err)
		return
	}
	e, err := casbin.NewEnforcer("rbac/model.conf", a)
	if err != nil {
		log.Printf("初始化casbin错误:%v", err)
		return
	}

	enfocer = e
}

//匹配
func Casbin(sub, obj, act string) bool {
	enforce, err := enfocer.Enforce(sub, obj, act)
	if err != nil {
		log.Printf("casbin规则匹配失败:%v", err)
		return false
	}
	return enforce
}

//添加
func addPolicy(auth, url, method string) bool {
	policy, _ := enfocer.AddPolicy(auth, url, method)
	if !policy {
		fmt.Println("已存在!")
	} else {
		fmt.Println("添加成功!")
	}
	return policy
}

func main() {
	auth := "admin"
	url := "/api/v1/home"
	method := "get"
	policy := addPolicy(auth, url, method)
	if policy {
		enfocer.SavePolicy()
	} else {
		fmt.Println("添加数据库失败!")
	}

}

在上述程序中使用xorm的适配器加载配置数据库:

a, err := xormadapter.NewAdapter("mysql", "root:root@tcp(127.0.0.1:3306)/test?charset=utf8", true)

casbin加载配置模型和适配器

e, err := casbin.NewEnforcer("rbac/model.conf", a)

AddPolicy方法在权限表添加内容:

enfocer.AddPolicy(auth, url, method)

使用程序enfocer.AddPolicy(auth, url, method)会添加一个权限表,p_type为策略的定义,v0,v1没有特别的意义表示p后的规则。

在这里插入图片描述

使用e.Enforce("alice", "data1", "read")方法检查数据库表中是否存在该权限。

在csv配置是p后的sub既可以是用户名也可以是角色名,但在使用数据库作为配置后casbin_rule就单独变为了一个权限表,需要与用户表外连接来表示用户表的权限。

casbin提供了如下方法实现权限的增删改查:

// Load the policy from DB.
e.LoadPolicy()

// Check the permission.
e.Enforce("alice", "data1", "read")

// Modify the policy.
// e.AddPolicy(...)
// e.RemovePolicy(...)

// Save the policy back to DB.
e.SavePolicy()

在应用中casbin生成的表一般为权限表,还需要构建一个账户表,将账户的角色名称与casbin的权限做对比来判断是否有权限。

package main

import (
	"github.com/casbin/casbin/v2"
	xormadapter "github.com/casbin/xorm-adapter/v2"
	"github.com/gin-gonic/gin"
	_ "github.com/go-sql-driver/mysql"
	"log"
	"xorm.io/xorm"
)

var Enfocer *casbin.Enforcer

var DB *xorm.Engine

func init() {
	//数据库引擎配置
	engine, err := xorm.NewEngine("mysql", "root:root@/test?charset=utf8")
	if err != nil {
		log.Printf("数据库驱动错误:%v", err)
		return
	}
	DB = engine
	//casbin适配器配置
	a, err := xormadapter.NewAdapter("mysql", "root:root@tcp(127.0.0.1:3306)/test?charset=utf8", true)
	if err != nil {
		log.Printf("连接数据库错误:%v", err)
		return
	}
	e, err := casbin.NewEnforcer("rbac/model.conf", a)
	if err != nil {
		log.Printf("初始化casbin错误:%v", err)
		return
	}

	Enfocer = e
}

func main() {

	//controller
	engine := gin.Default()
	engine.GET("/api/v1", casbinAuth(), func(context *gin.Context) {
		context.String(200, " data1 list ...")
	})
	engine.GET("/api/v2", casbinAuth(), func(context *gin.Context) {
		context.String(200, "data1 add ...")
	})
	engine.GET("/api/v3", casbinAuth(), func(context *gin.Context) {
		context.String(200, "data1 delete  ...")
	})
	engine.Run("127.0.0.1:8080")

}

func casbinAuth() gin.HandlerFunc {
	return func(context *gin.Context) {
		//前端参数
		var username Username
		context.ShouldBindJSON(&username)
		//获取账户信息
		var user User
		DB.Where("account = ?", username.Username).Get(&user)
		//获取uri
		uri := context.Request.URL.RequestURI()
		//获取方法
		method := context.Request.Method
		//获取casbin权限
		Enfocer.LoadPolicy()
		//casbin匹配
		enforce, _ := Enfocer.Enforce(user.RoleName, uri, method)
		if !enforce {
			context.String(503, "无访问权限!")
			context.Abort()
			return
		} else {
			context.Next()
		}

	}

}

type Username struct {
	Username string `json:"username"`
}

type User struct {
	Id       int    `json:"id"`
	Account  string `json:"account"`
	Nickname string `json:"nick_name"`
	Password string `json:"pass_word"`
	RoleName string `json:"role_name"`
}

账户表:
在这里插入图片描述

权限表(casbin生成):

在这里插入图片描述

在上图的库中按照逻辑xiaoxu用户可以访问/api/v1经此一个条件。

请添加图片描述

也可以通过casbin提供的方法为账户授权即在casbin生成的casbin_rule中添加一条其他uri的记录。每个记录可以匹配5个字段。

auth := "string"
url := "/api/v2"
method := "get"
policy := addPolicy(auth, url, method)
if policy {
enfocer.SavePolicy()
} else {
	fmt.Println("添加数据库失败!")
}

向权限表中添加string的权限其访问的路径为/api/v2,那么在角色表中,角色名称为string的就可以访问/api/v2的路径。

在这里插入图片描述

处理流程如图所示,创建用户授予角色,权限表添加角色的权限,登录时有casbin匹配放行。

gitee地址-casbin-rbac

xvwen
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
gin-web:由gin + gorm + jwt + casbin组合实现RBAC权限管理脚手架Golang版, 搭建完成即可快速、高效投入业务开发
04-30
Gin Web 由gin + gorm + jwt + casbin组合实现RBAC权限管理脚手架Golang版, 搭建完成即可快速、高效投入业务开发 特性 RESTful API 设计规范 Gin 一款高效的golang web框架 MySQL 数据库存储 Jwt 用户认证, 登入登出一键搞定 Casbin 基于角色的访问控制模型(RBAC) Gorm 数据库ORM管理框架, 可自行扩展多种数据库类型(主分支已支持gorm 2.0) Validator 请求参数校验, 版本V9 Lumberjack 日志切割工具, 高效分离大日志文件, 按日期保存文件 Viper 配置管理工具, 支持多种配置文件类型 Packr 文件打包工具, 轻松将静态文件打包到编译后的二进制应用中 GoFunk 常用工具包, 某些方法无需重复造轮子 Workflow 工作流程管理(由于golang工作流相关轮子很
go-web是使用gin+gorm+casbin+mysql+redis的基于rbac模型权限管理系统。
最新发布
05-23
安全性:Go语言具有强大的类型系统和内存管理机制,能够减少运行时错误和内存泄漏等问题。它还支持编译时检查,可以在编译阶段就发现潜在的问题。 标准库:Go语言的标准库非常丰富,包含了大量的实用功能和工具,如...
beego利用casbin进行权限管理——第四节 策略更新
hotqin888的专栏
04-21 7698
  beego利用casbin进行权限管理——第一节 起步、测试 beego利用casbin进行权限管理——第二节 策略存储 beego利用casbin进行权限管理——第三节 策略查询 beego利用casbin进行权限管理——第四节 策略更新 beego利用casbin进行权限管理——第五节 策略更新(续) EngineerCMS工程师知识(资料)管理系统的github地址。该系统正...
RBAC鉴权】node-casbin基础教程
IT飞牛
05-02 950
RBAC鉴权,完整的英文描述是:Role-Based Access Control,中文意思是:基于角色(Role)的访问控制。这是一种广泛应用于计算机系统和网络安全领域的访问控制模型。简单来说,就是通过将权限分配给➡角色,再将角色分配给➡用户,来实现对系统资源的访问控制。一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。
JAVA的对象访问定位
Linux,Java,SpringBoot,Python,Lua略知一点
10-23 235
创建对象是为了访问对象,Java程序通过栈的引用(reference)数据来操作堆上的对象。由于reference类型在Java虚拟机规范中只规定了一个指向对象的引用。并没有规定通过该引用怎么定位,访问堆中的对象。具体需要看虚拟机的实现。 两种访问方式: 句柄访问 直接访问 句柄访问 Java堆中会划分一个句柄池,reference存储的就是对象的句柄地址,而句柄中存放的是对象的实例数据和类型数据的地址信息。 直接访问 Java堆对象布局就必须考虑如何存放访问类型数据的相关信息,referenc
Casbin实现RBAC权限访问控制
让梦想疯狂
06-19 1299
RBAC全称:Role-Based Access Control(基于角色的访问控制)。例如我们在设计一个财务管理系统时,有CEO、财务、销售等角色会访问该系统。都由角色来决定用户哪些数据允许访问,哪些按钮允许操作等等。一个支持如ACL, RBAC, ABAC等访问模型,可用于Golang, Java, C/C++, Node.js, Javascript, PHP, Laravel, Python, .NET (C#), Delphi, Rust, Ruby, Lua (OpenResty), Dart
RBAC权限控制(GO-casbin
qq_37351282的博客
04-25 1107
rbac权限管理(go版本)
Casbin Demo实例(支持CSV和MySQL两种策略规则)
sserf的专栏
07-14 3481
Casbin 帮助文档地址:https://casbin.org/docs/zh-CN/how-it-works 常见的设计模式(DAC,MAC,RBAC,ABAC) 0.基于权限的角色控制 RBAC 1.基于属性的权限验证(ABAC: Attribute-Based Access Control) 创建一个Casbin决策器需要有一个模型文件和策略文件为参数: 特性: 1.支持自定义请求的格式,默认的请求格式为{subject, object, action}。 2.具有访问控制模型model和策略po
Golang Beego使用Casbin进行Restful Api权限管理教程
Avtionの秘密房间
11-24 6198
Golang Beego使用Casbin进行Restful Api权限管理教程
Golang之casbin权限管理实现
12-16
管理角色用户映射和角色角色映射(RBAC中的角色层次结构)。 支持内置的超级用户,例如root或administrator。超级用户可以在没有显式权限的情况下执行任何操作。 多个内置运算符支持规则匹配。例如,keyMatch可以将...
由gin + gorm + jwt + casbin组合实现RBAC权限管理脚手架Golang-gin-web.zip
11-06
在本文中,我们将深入探讨如何使用Gin、Gorm、JWT和Casbin这四个关键组件构建一个基于Golang的RBAC(Role-Based Access Control)权限管理系统。Gin是一个高效的Web框架,Gorm是一个用于Go语言的ORM库,JWT(Json ...
猫鼬适配器:Casbin的猫鼬适配器
02-03
猫鼬适配器 Mongoose适配器是的适配器。 使用此库,Node-Casbin可以从Mongoose支持的数据库中加载策略或将策略保存到该数据库。 它最初由@elasticio的@ghaiklor开发。 基于,当前支持的数据库是MongoDB。 入门 在您的项目中将软件包安装为依赖项: npm install --save casbin-mongoose-adapter casbin 注意: casbin作为peerDependencies! 在实例化执行器的地方()中进行需求: const path = require ( 'path' ) ; const { newEnforcer } = require ( 'casbin' ) ; const MongooseAdapter = require ( 'casbin-mongoose-adapter' ) ; const model = path . resolve ( __dirname , './your_model.conf' ) ; const adapter = await MongooseAdapter
Go-基于GinCasbinAntDesignReact的RBAC权限管理脚手架
08-13
本文将深入探讨一个基于Go语言、Gin框架、Casbin权限管理库、Ant Design UI组件库以及React前端框架的RBAC(Role-Based Access Control)权限管理脚手架。这个名为"Go-基于GinCasbinAntDesignReact的RBAC权限管理...
使用casbin开发rbac模型的golang权限控制模块功能
程序员记事本
06-18 9274
背景交代 RBAC数据库表结构模型如下图: 很简单的一个数据库模型,系统资源表存储系统功能url及名称等信息,角色与用户是多对多,即一个用户可以有多种角色,角色与资源表多对多,即多个角色中每一种可操作的系统资源可以各不相同。 casbin casbin有针对数据库的adapter,它自己也能读取数据库内容,但是没细研究是否需要建立适配casbin的那一套结构,毕竟大家对rbac模型太熟...
[开源]Gin + GORM + Casbin+vue-element-admin 实现权限管理系统(golang)
weixin_30668887的博客
06-01 2110
简析 基于 Gin + GORM + Casbin + vue-element-admin 实现权限管理系统。 基于Casbin 实现RBAC权限管理。 前端实现: vue-element-admin。 开源地址见文末。 特性 基于 CasbinRBAC 访问控制模型; JWT 认证; 前后端分离。 下载并运行 获取代码 go get -v gith...
go语言casbin快速入门
憨憨
02-14 2799
casbin快速入门 casbin将访问控制模型抽象到一个基于 PERM(Policy,Effect,Request,Matchers) 元模型的配置文件(模型文件)中 policy是策略或者说是规则的定义。它定义了具体的规则。 request是对访问请求的抽象,它与e.Enforce()函数的参数是一一对应的 matcher匹配器会将请求与定义的每个policy一一匹配,生成多个匹配结果。 effect根据对请求运用匹配器得出的所有结果进行汇总,来决定该请求是允许还是拒绝。 下载依赖
Python权限管理框架Casbin PyCasbin的简单操作
J_Sky:编程爱好者,又菜又爱玩.
10-27 2750
Casbin 是一个强大和高效的开放源码访问控制库,它支持各种 访问控制模型 以强制全面执行授权。大多数应用都会和权限权限管理打交道,有的时候我们希望有一套拿来即用的权限管理框架,既可以在小型的个人应用中使用,又可以应付大型应用的复杂权限的管理,Casbin可以满足你的这个小小愿望.Casbin支持多种编程语言,今天我们来试试Casbin在python下的简单操作.
go-admin后台设计之casbin权限管理
huohunri2013的专栏
12-23 1606
1.概要 权限管理⼏乎是每个系统或者服务都会直接或者间接涉及的部分.权限管理保障了资源(⼤部分时候就是数据)的安全,权限管理⼀般都是和业务强关联,每当有新的业务或者业务变化时,不能将精⼒完全放在业务实现上,权限的调整往往耗费⼤量的精⼒.其实,权限的本质没有那么复杂,只是对访问的控制⽽已,有⼀套完善的访问控制接⼝,再加上简单的权限模型.权限模型之所以能够简单,就是因为权限管理本身并不复杂,只是在和具体业务结合时,出现了各种各样的访问控制场景,才显得复杂. 2.PERM模型 PERM(Policy,Eff
Casbin实现RBAC
MELF晓宇的博客
12-15 1195
Casbin框架 Casbin是一个强大的、高效的开源访问控制框架,其权限管理机制支持多种访问控制模型。 官网:https://casbin.org/docs/zh-CN/rbac-with-domains-api 中文文档:https://casbin.org/docs/zh-CN/overview RBAC API:https://casbin.org/docs/zh-CN/rbac-api 域内基于角色的访问控制 API:https://casbin.org/docs/zh-CN/rbac-with-
jwt + casbin 实现rbac权限管理
10-31
JWT是一种基于JSON的标准的身份验证和授权令牌,用于在网络应用中传递声明。而Casbin是一个强大的访问控制框架,它提供了一种灵活的权限管理方式,可以通过编程或配置文件进行RBAC(基于角色的访问控制)权限控制。 使用JWT和Casbin实现RBAC权限管理的一般流程如下: 1. 用户登录:用户提供用户名和密码进行身份验证,验证成功后后端生成JWT令牌并返回给前端。 2. 前端请求授权:前端在每次请求中携带JWT令牌,在请求头中加入Authorization字段,值为"Bearer + 生成的JWT令牌"。 3. 后端验证:后端接收到请求后,从请求头中获取JWT令牌。通过验证JWT的有效性(包括签名、过期时间等),确定用户的身份。 4. Casbin权限验证:后端使用Casbin框架进行RBAC权限验证。Casbin通过配置角色和权限关系的模型文件,根据用户的角色和请求路径,判断用户是否具有访问权限。 5. 授权结果返回:Casbin根据判断结果,返回授权结果给后端。如果授权成功,则继续处理请求;如果授权失败,则返回相应的错误提示。 通过将JWT和Casbin结合使用,可以实现灵活的RBAC权限管理。JWT用于验证用户身份并在请求中携带令牌,Casbin用于基于角色的权限控制。这样可以有效管理系统中的角色和权限关系,保证用户只能访问其拥有权限的资源,从而提高系统的安全性和可维护性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xvwen

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值