Go Gin Gorm Casbin权限管理实现 - 1. Casbin概念介绍以及库使用

news2024/12/22 20:03:44

1. 核心概念

核心配置中含两部分模型配置以及策略配置,给出两个示范配置,在此基础上对实际请求进行分析。

1.1 Model

模型文件,存储了请求定义(request_definition),策略定义(policy_definition),匹配规则(matchers),以及匹配的综合结果(policy_effect)

[request_definition]
r = sub, obj, act

[policy_definition]
p = sub, obj, act

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

1.2 Policy

以下为示策略文件policy.csv含有两条策略,策略除了存储在文件中,还可以保存到数据库,后续中我们用到GORM Adapter,保存到数据库中

p,leo,/api/user,GET
p,leo,/api/user,POST

1.3 实例分析

以用户leo通过GET方法访问后台API:/api/user为例

根据request_definition对应request中三个参数为
matchers根据条件匹配策略,匹配返回true
matchers根据条件匹配策略,不匹配的忽略
matchers根据条件匹配策略,不匹配的忽略
policy_effect计算影响,some(where (p.eft == allow))表示其中一条匹配即通过
用户`leo`通过`GET`方法访问`/api/user`
(leo, /api/user, GET)->(r.sub, r.obj, r.act)
匹配策略1
匹配策略2
匹配策略....
返回最终结果通过或者拒绝

1.3 ACL模型和RBAC模型

Casbin模型比较多,只需理解以下两种模型,基本能满足绝大部分业务需求

1.3.1 ACL模型

简单理解,如上面model.conf中不包含用户角色组,策略中都是针对单个用户,用户的请求和动作直接匹配策略,并计算结果

1.3.2 RBAC模型

简单理解,用户关联到角色组,策略定义中针对组做策略

后续gin casbin鉴权中选用该模型
后续示例中model.conf

[request_definition]
r = sub, obj, act

[policy_definition]
p = sub, obj, act

[role_definition]
g = _, _

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act

后续示例中policy.csv

定义了两条策略,admin组能访问的资源以及操作,以及用户leo属于admin

p,admin,/api/user,GET
p,admin,/api/user,POST

g,leo,admin

2. 库使用

2.1 Enforcer 执行器概念

Casbin 库中核心概念为执行器Enforcer
使用casbin.NewEnforcer("./model.conf", "./policy.csv")加载模型策略
调用Enforcer的Enforce(r.sub, r.obj, r.act)方法检查鉴权结果

package main

import (
	"fmt"

	"github.com/casbin/casbin/v2"
)

func CheckPermission(e *casbin.Enforcer, sub, obj, act string) {
	ok, err := e.Enforce(sub, obj, act)
	if err != nil {
		panic("check enforce error: " + err.Error())
	}
	if ok {
		fmt.Printf("用户: %s 访问资源: %s 使用方法: %s 检查通过\n", sub, obj, act)
	} else {
		fmt.Printf("用户: %s 访问资源: %s 使用方法: %s 检查拒绝\n", sub, obj, act)
	}
}

func main() {
	enforcer, err := casbin.NewEnforcer("./model.conf", "./policy.csv")
	if err != nil {
		panic("new enforcer error: " + err.Error())
	}

	// 预期输出:
	// 用户: leo 访问资源: /api/user 使用方法: GET 检查通过
	CheckPermission(enforcer, "leo", "/api/user", "GET")
	// 预期输出:
	// 用户: leo 访问资源: /api/user 使用方法: DELETE 检查拒绝
	CheckPermission(enforcer, "leo", "/api/user", "DELETE")
}

2.2 adapter 适配器概念

casbin.NewEnforcer(“./model.conf”, “./policy.csv”)中默认从文件加载,是内置的名为File Adapter (内置)实现的
后续中,我们需将权限存储到DB中,使用的适配器为GORM Adapter,使用如下:

package main

import (
	"log"

	"github.com/casbin/casbin/v2"
	gormadapter "github.com/casbin/gorm-adapter/v3"
	"github.com/glebarez/sqlite"
	"gorm.io/gorm"
)

func main() {
	db, err := gorm.Open(sqlite.Open("test.db"), &gorm.Config{})
	if err != nil {
		panic("failed to connect database")
	}

	a, err := gormadapter.NewAdapterByDB(db)
	if err != nil {
		panic("new gorm adapter error: " + err.Error())
	}

	e, err := casbin.NewEnforcer("./model.conf", a)
	if err != nil {
		panic("new casbin enforcer error: " + err.Error())
	}

	e.LoadPolicy()
	// 添加策略
	ok, err := e.AddPolicy("admin", "/api/user", "GET")
	log.Println("add admin /api/user GET: ", ok, err)
	ok, err = e.AddGroupingPolicy("leo", "admin")
	log.Println("add leo to admin group: ", ok, err)
	e.SavePolicy()

	ok, err = e.Enforce("leo", "/api/user", "GET")
	log.Println("leo GET /api/user :", ok, err)
	ok, err = e.Enforce("leo", "/api/user", "DELETE")
	log.Println("leo DELETE /api/user :", ok, err)
}

测试结果

2.3 Functions(Matchers中的函数)

上述model.conf中有一个问题,访问的url是/api/user/123形式,r.objp.obj不匹配,这时候我们要用到Matchers中的函数,一般选择keyMatch2即可能针对url,能满足日常需求
修改后的model.conf

[request_definition]
r = sub, obj, act
		
[policy_definition]
p = sub, obj, act
		
[role_definition]
g = _, _
		
[policy_effect]
e = some(where (p.eft == allow))
		
[matchers]
m = r.sub == p.sub && keyMatch2(r.obj,p.obj) && r.act == p.act

更多函数参考,https://casbin.org/zh/docs/function

函数url模式
keyMatch一个URL 路径,例如/alice_data/resource1一个URL 路径或*模式下,例如/alice_data/*
keyMatch2一个URL 路径,例如/alice_data/resource1一个URL 路径或:模式下,例如/alice_data/:resource
keyMatch3一个URL 路径,例如/alice_data/resource1一个URL 路径或{}模式下,例如/alice_data/{resource}
keyMatch4一个URL 路径,例如/alice_data/resource1一个URL 路径或{}模式下,例如/alice_data//{id}/book/{id}
keyMatch5a URL path like/alice_data/123/?status=1a URL path, a{}or*pattern like/alice_data/{id}/*
regexMatch任意字符串正则表达式模式

3. 结语

至此,已了解的概念已能满足业务需求,下一章将CasbinGorm结合起来,并实现增删改查功能

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1063531.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

黑豹程序员-架构师学习路线图-百科:AJAX

文章目录 1、什么是AJAX2、发展历史3、工作原理4、一句话概括 1、什么是AJAX Ajax即Asynchronous(呃森可乐思) Javascript And XML(异步JavaScript和XML) 在 2005年被Jesse James Garrett(杰西詹姆斯加勒特&#xff09…

Yolov5 ONNX导出报错: export failure: Unsupported ONNX opset version: 17

目录 1.问题描述 1.1 报错1 : 1.2 报错 2 2.解决方案 介绍 ONNX(Open Neural Network Exchange)是一个用于机器学习模型的开放式标准,它旨在使不同的深度学习框架能够将训练好的模型在不同平台上无缝运行。它是由Microsoft和F…

第二课 前缀和、差分、双指针扫描

文章目录 第二课 前缀和、差分、双指针扫描lc1.两数之和--简单题目描述代码展示 lc11.盛最多水的容器--中等题目描述代码展示 lc15.三数之和--中等题目描述代码展示 lc42.接雨水--困难题目描述代码展示 lc53.最大子数组和--中等题目描述代码展示 第二课 前缀和、差分、双指针扫…

基于goravel的CMS,企业官网通用golang后台管理系统

2023年9月11日10:47:00 仓库地址: https://gitee.com/open-php/zx-goravel-website 框架介绍 Goravel SCUI 后端开发组件 go 1.20 Goravel 1.13 数据库 sql(使用最新日期文件) goravel\doc\sql_bak mysql 8.0 前端开发组件 scui 1.6.9 node v14.21.3 效果图…

凉鞋的 Unity 笔记 106. 第二轮循环场景视图Sprite Renderer

106. 第二轮循环&场景视图&Sprite Renderer 从这一篇开始,我们开始进行第二轮循环。 这次我们至少能够在游戏运行窗口看到一些东西。 首先还是在场景层次窗口进行编辑,先创建一个 Sprite,操作如下: 创建后,会在 Scene …

【锁的区别】C++线程库和POSIX线程库锁的区别

C线程库和POSIX线程库锁的区别 C线程库代码段的互斥:mutex、recursive_mutex、timed_mutex、recursive_timed_mutex互斥量mutex:直接进行lock()或者unlock()递归互斥锁recursive_mutex:可以多次加锁,意味着加几次锁就需要解几次锁…

华为MateBook13 2021款(WRTD-WFE9)原装出厂Win10系统工厂模式安装包(含F10智能还原)

下载链接:https://pan.baidu.com/s/1yL7jFbklrln0UqWqxQ7fcw?pwd9nm1 系统自带一键智能还原功能、带有指纹、声卡、显卡、网卡等所有驱动、出厂主题壁纸、系统属性华为专属LOGO标志、Office办公软件、华为电脑管家等预装程序 所需要工具:16G或以上的U…

公众号留言插件有哪些?有哪些好用的小程序?

为什么公众号没有留言功能?2018年2月12日,TX新规出台:根据相关规定和平台规则要求,我们暂时调整留言功能开放规则,后续新注册帐号无留言功能。这就意味着2018年2月12日号之后注册的公众号不论个人主体还是组织主体&…

全能视频工具 VideoProc Converter 4K for mac中文

VideoProc 4K提供快速完备的4K影片处理方案,您可以透过这款软体调节输出影片格式和大小。能够有效压缩HD/4K影片体积90%以上,以便更好更快地上传到YouTube,或是通过电子邮件附件发送。业界领先的视讯压缩引擎,让你轻松处理大体积视…

基于可解释性特征矩阵与稀疏采样全局特征组合的人体行为识别

论文还未发表,不细说,欢迎讨论。 Title: A New Solution to Skeleton-Based Human Action Recognition via the combination usage of explainable feature extraction and sparse sampling global features. Abstract: With the development of deep …

一个.NET开发的开源跨平台二维码生成库

虽然已经有很多生成二维码的解决方案,但是它们大多依赖System.Drawing,而.NET 6开始,使用System.Drawing操作图片,在生成解决方案或打包时,会收到一条警告,大致意思是System.Drawing仅在 ‘windows’ 上受支…

完美清晰,炫酷畅享——Perfectly Clear Video为你带来卓越的AI视频增强体验

在我们日常生活中,我们经常会拍摄和观看各种视频内容,无论是旅行记录、家庭聚会还是商务演示,我们都希望能够呈现出最清晰、最精彩的画面效果。而现在,有一个强大的工具可以帮助我们实现这一目标,那就是Perfectly Clea…

Spring IoC容器及原理

Spring IoC容器及原理 目录 Spring IoC容器及原理 Spring BeanFactory容器 Spring ApplicationContext容器 Spring容器是Spring框架的核心。容器将创建对象,它们连接在一起,配置它们,并从创建到销毁管理他们的整个生命周期。在Spring容器…

大压缩作用下软基底薄膜周期性分层现象的研究

引言 通过实验、理论模型和有限元模拟的结合,英思特通过将一个薄膜粘接到一个预应变超过400%的软弹性衬底上,探索了微观和宏观尺度上控制周期性屈曲脱层形成和发展的机理。我们发现,在大的基底预应变释放时,膜中的变形遵循三阶段…

好用的截图软件Snipaste2.7.3

官网 Snipaste - 截图 贴图 下载 使用 解压 打开64位 双击运行 查看快捷键:选择图标,右键,弹出查看菜单

CDN体系架构及部署方案探索

如今是科技技术飞速发展的时代,特别是互联网技术在各个方面都得到了质的提升。对于CDN技术来说,该项技术的基本功能、体系构架以及运营部署等方面都取得了长足的发展,不仅技术日新月异,而且整个体系日趋成熟,并且不断朝…

最新Uniapp软件社区-全新带勋章源码

测试环境:php7.1。ng1.2,MySQL 5.6 常见问题: 配置好登录后转圈圈,检查环境及伪静态以及后台创建好应用 上传图片不了,检查php拓展fileinfo 以及public文件权限 App个人主页随机背景图,在前端uitl文件夹里面…

Python柱形图

柱形图 柱形图,又称长条图、柱状统计图、条图、条状图、棒形图,是一种以长方形的长度为变量的统计图表。长条图用来比较两个或以上的价值(不同时间或者不同条件),只有一个变量,通常利用于较小的数据集分析…

C语言之自定义类型_结构体篇(1)

目录 什么是结构? 结构体类型的声明 常规声明 特殊声明-匿名结构体 结构体变量的定义和初始化和访问 定义 初始化 访问 嵌套结构体 结构体的自引用 什么是结构体的自引用 NO1. NO2. 热门考点:结构体内存对齐 产生内存对齐 NO1 NO2 …

【TensorFlow Hub】:有 100 个预训练模型等你用

要访问TensorFlow Hub,请单击此处 — https://www.tensorflow.org/hub 一、说明 TensorFlow Hub是一个库,用于在TensorFlow中发布,发现和使用可重用模型。它提供了一种使用预训练模型执行各种任务(如图像分类、文本分析等&#xf…