casbin基于RBAC模型实现权限管理

news2024/12/23 1:26:19

在casbin中权限都是基于匹配规则和访问控制模型实现的,除了上一章的ACL的实现方式,还有一个常用的访问控制模型RBAC。该模型带上了用户角色,基本满足大多数角色管理的系统。

在RBAC模型中多了一个角色的策略机制,其访问模型规则如下所示:

# 请求格式
[request_definition]
r = sub, obj, act


# 策略
[policy_definition]
p = sub, obj, act

# 账户和角色
[role_definition]
g = _, _

# 效果
[policy_effect]
e = some(where (p.eft == allow))

# 匹配规则
[matchers]
m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act

在该访问模型中,策略policy_definition规定了请求的格式,策略是通行访问权限的第一步,请求定义request_definition是依赖策略的,请求向外暴露,用于接收外部传递的访问参数,框架在于策略对比,符合policy_definition的定义才能到下一步。

p,xiaoxu,data1,add
p,xiaoxu,data1,delete
p,xiaoxu,data1,update

在规则中定义若干匹配规则,p表示声明,其后为定义的sub,obj,act;在使用时request_definition负责于程序对接,将参数传递到请求中即对应的r.sub,r,obj,r.act;之后在上述定义的规则中查询若存在则同行。

policy_definition只是定义了策略,实际的值需要需要定义,包含两种定义方式一种是配置csv文件,通过程序读取;另一种是存档到数据库程序查询。

role_definition是定义用户和角色的,第一个参数为用户,第二个参数为角色,由于两部分都是用户自定义的因此此处为占位符。其匹配原理和policy_definition策略一样。其实际的值定义也可以使用csv配置文件和数据库。

p, alice, data1, read
p, bob, data2, write
p, data2_admin, data2, read
p, data2_admin, data2, write

g, alice, data2_admin

在规则定义中,p定义策略的实际变量,g定义角色的实际变量。这里需要注意的是p规则定义时,sub的值可以时用户也可以时校色,因为其模型定义的sub是访问实体。

有了角色管理后matchers匹配规则也需要加入响应的规则,来实现:

m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act

在校色匹配规则中必须满足g(r.sub, p.sub) 的用户和角色的配置。

p, alice, data1, read
p, bob, data2, write
p, data2_admin, data2, read
p, data2_admin, data2, write

g, alice, data2_admin

更多移步

The system cannot find the path specified

casbin作为访问权限控制的框架的基本步骤:

  1. 配置访问控制模型
  2. 配置策略(csv文件或者数据库)
  3. 程序中变量于策略按照模型规则匹配
  4. 访问放行逻辑与阻止逻辑

在这里插入图片描述

// modle.conf

[request_definition]
r = sub, obj, act

[policy_definition]
p = sub, obj, act

[role_definition]
g = _, _

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act
//策略csv

p, alice, data1, read
p, bob, data2, write
p, data2_admin, data2, read
p, data2_admin, data2, write

g, alice, data2_admin
//程序中casbin
package main

import (
	"fmt"
	"github.com/casbin/casbin/v2"
)

// 定义casbin模型
func casBin(sub, obj, act string) bool {
	e, err := casbin.NewEnforcer("rbac/model.conf", "rbac/policy.csv")
	if err != nil {
		println(err.Error())
		return false
	}
	enforce, err := e.Enforce(sub, obj, act)
	if err != nil {
		println(err.Error())
		return false
	}
	return enforce
}

func main() {
	bin := casBin("alice", "data2", "read")
	fmt.Println(bin)
}

casbin框架会自动识别加载的配置文件的框架。

通过策略配置的方式在一定条件下是有局限性的,因为角色管理的权限是动态的,这样使用配置文件比较繁琐,使用数据库存储更加方便。

在策略文件中,使用存储方式为csv,格式如下:

p, data2_admin, data2, read
p, data2_admin, data2, write
g, alice, admin

在数据库中存储用二维表表示:
在这里插入图片描述

id: 仅存在于数据库中作为主键。 不是级联策略 的一部分。 它生成的方式取决于特定的适配器
ptype: 它对应 p, g 等等。
v0-v5: 列名称没有特定的意义, 并对应 policy csv 从左到右的值。 列数取决于自定义的数量。

在Casbin中,策略存储作为adapter(Casbin的中间件) 实现。 Casbin用户可以使用adapter从存储中加载策略规则 (aka LoadPolicy()) 或者将策略规则保存到其中 (aka SavePolicy())。

基于xorm的适配器

数据库实现步骤:

  1. 选用orm框架配置数据库适配器
  2. casbin的enforcer加载模型和数据库适配器
  3. 构建权限表
  4. 权限表与用户表绑定实现权限认证
package main

import (
	"fmt"
	"github.com/casbin/casbin/v2"
	xormadapter "github.com/casbin/xorm-adapter/v2"
	_ "github.com/go-sql-driver/mysql"
	"log"
)

var enfocer *casbin.Enforcer

func init() {
	a, err := xormadapter.NewAdapter("mysql", "root:root@tcp(127.0.0.1:3306)/test?charset=utf8", true)
	if err != nil {
		log.Printf("连接数据库错误:%v", err)
		return
	}
	e, err := casbin.NewEnforcer("rbac/model.conf", a)
	if err != nil {
		log.Printf("初始化casbin错误:%v", err)
		return
	}

	enfocer = e
}

//匹配
func Casbin(sub, obj, act string) bool {
	enforce, err := enfocer.Enforce(sub, obj, act)
	if err != nil {
		log.Printf("casbin规则匹配失败:%v", err)
		return false
	}
	return enforce
}

//添加
func addPolicy(auth, url, method string) bool {
	policy, _ := enfocer.AddPolicy(auth, url, method)
	if !policy {
		fmt.Println("已存在!")
	} else {
		fmt.Println("添加成功!")
	}
	return policy
}

func main() {
	auth := "admin"
	url := "/api/v1/home"
	method := "get"
	policy := addPolicy(auth, url, method)
	if policy {
		enfocer.SavePolicy()
	} else {
		fmt.Println("添加数据库失败!")
	}

}

在上述程序中使用xorm的适配器加载配置数据库:

a, err := xormadapter.NewAdapter("mysql", "root:root@tcp(127.0.0.1:3306)/test?charset=utf8", true)

casbin加载配置模型和适配器

e, err := casbin.NewEnforcer("rbac/model.conf", a)

AddPolicy方法在权限表添加内容:

enfocer.AddPolicy(auth, url, method)

使用程序enfocer.AddPolicy(auth, url, method)会添加一个权限表,p_type为策略的定义,v0,v1没有特别的意义表示p后的规则。

在这里插入图片描述

使用e.Enforce("alice", "data1", "read")方法检查数据库表中是否存在该权限。

在csv配置是p后的sub既可以是用户名也可以是角色名,但在使用数据库作为配置后casbin_rule就单独变为了一个权限表,需要与用户表外连接来表示用户表的权限。

casbin提供了如下方法实现权限的增删改查:

// Load the policy from DB.
e.LoadPolicy()

// Check the permission.
e.Enforce("alice", "data1", "read")

// Modify the policy.
// e.AddPolicy(...)
// e.RemovePolicy(...)

// Save the policy back to DB.
e.SavePolicy()

在应用中casbin生成的表一般为权限表,还需要构建一个账户表,将账户的角色名称与casbin的权限做对比来判断是否有权限。

package main

import (
	"github.com/casbin/casbin/v2"
	xormadapter "github.com/casbin/xorm-adapter/v2"
	"github.com/gin-gonic/gin"
	_ "github.com/go-sql-driver/mysql"
	"log"
	"xorm.io/xorm"
)

var Enfocer *casbin.Enforcer

var DB *xorm.Engine

func init() {
	//数据库引擎配置
	engine, err := xorm.NewEngine("mysql", "root:root@/test?charset=utf8")
	if err != nil {
		log.Printf("数据库驱动错误:%v", err)
		return
	}
	DB = engine
	//casbin适配器配置
	a, err := xormadapter.NewAdapter("mysql", "root:root@tcp(127.0.0.1:3306)/test?charset=utf8", true)
	if err != nil {
		log.Printf("连接数据库错误:%v", err)
		return
	}
	e, err := casbin.NewEnforcer("rbac/model.conf", a)
	if err != nil {
		log.Printf("初始化casbin错误:%v", err)
		return
	}

	Enfocer = e
}

func main() {

	//controller
	engine := gin.Default()
	engine.GET("/api/v1", casbinAuth(), func(context *gin.Context) {
		context.String(200, " data1 list ...")
	})
	engine.GET("/api/v2", casbinAuth(), func(context *gin.Context) {
		context.String(200, "data1 add ...")
	})
	engine.GET("/api/v3", casbinAuth(), func(context *gin.Context) {
		context.String(200, "data1 delete  ...")
	})
	engine.Run("127.0.0.1:8080")

}

func casbinAuth() gin.HandlerFunc {
	return func(context *gin.Context) {
		//前端参数
		var username Username
		context.ShouldBindJSON(&username)
		//获取账户信息
		var user User
		DB.Where("account = ?", username.Username).Get(&user)
		//获取uri
		uri := context.Request.URL.RequestURI()
		//获取方法
		method := context.Request.Method
		//获取casbin权限
		Enfocer.LoadPolicy()
		//casbin匹配
		enforce, _ := Enfocer.Enforce(user.RoleName, uri, method)
		if !enforce {
			context.String(503, "无访问权限!")
			context.Abort()
			return
		} else {
			context.Next()
		}

	}

}

type Username struct {
	Username string `json:"username"`
}

type User struct {
	Id       int    `json:"id"`
	Account  string `json:"account"`
	Nickname string `json:"nick_name"`
	Password string `json:"pass_word"`
	RoleName string `json:"role_name"`
}

账户表:
在这里插入图片描述

权限表(casbin生成):

在这里插入图片描述

在上图的库中按照逻辑xiaoxu用户可以访问/api/v1经此一个条件。

请添加图片描述

也可以通过casbin提供的方法为账户授权即在casbin生成的casbin_rule中添加一条其他uri的记录。每个记录可以匹配5个字段。

auth := "string"
url := "/api/v2"
method := "get"
policy := addPolicy(auth, url, method)
if policy {
enfocer.SavePolicy()
} else {
	fmt.Println("添加数据库失败!")
}

向权限表中添加string的权限其访问的路径为/api/v2,那么在角色表中,角色名称为string的就可以访问/api/v2的路径。

在这里插入图片描述

处理流程如图所示,创建用户授予角色,权限表添加角色的权限,登录时有casbin匹配放行。

gitee地址-casbin-rbac

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/555949.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

消息中间件 - RabbitMQ篇之入门及进阶

这里写自定义目录标题 一. RabbitMQ简介1.1. 消息中间件1.1.1.什么是消息中间件1.1.2.消息中间件的传递模式1. 1.2.1 点对点1. 1.2.2 发布订阅模式 1.1.3 消息中间件种类1.1.4 消息中间件的作用 2. RabbitMQ介绍2.1.RabbitMQ的起源2.2.RabbitMQ的安装及简单使用 3. RabbitMQ的简…

Unity UI -- (6)增加Toggle和Slider

在前面的小节中,我们已经有了一个空的设置菜单。现在让我们来添加设置选项。 在本节最后,我们的设置菜单的样子参考如下: 添加一个音乐开关(Toggle) 现在让我们来增加一个toggle,让用户能够通过它来对场景的…

多功能语音芯片​NV040C的应用,为洗地机开辟新的应用领域

随着科技的快速发展,智能化和自动化已经成为了各个行业发展的主流趋势。传统的家庭洗拖工作日渐被各类洗地机、扫地机器人等取代,其中作为洗地机作为近几年家庭清洁的好物。近年来,不少洗地机厂商开始将语音芯片技术应用到产品中,…

多商户商城系统开发功能优势与选择技巧

电商行业的持续发展,让越来越多的商家企业开始选择入驻多商户商城,通过该系统不仅能够为消费者提供更加便捷良好的购物体验,而且也能够为企业提供一个高效稳定的电商平台,可以说是未来电商行业发展的重要趋势。那么多商户商城系统…

Milk -v 开发板烧录系统以及ssh连接

Milk -v 开发板烧录系统以及ssh连接 0. 前言1. 系统下载2. 驱动安装3. ssh连接 0. 前言 操作系统:Windows10 专业版 开发板:Milk -v 准备读卡器、内存卡、Typec 数据线 Milk-V开发板官方文档 到手后它的外形和宣传图片是一致的,但是更加的…

微信小程序云开发学习记录--1

目录 1.配置小程序项目 2. 云创建 3.新建云文件夹 4.数据库的建立和使用 5.增、删、改、查四种数据库基本操作 增加数据 查询数据 修改数据 删除数据 拿到微信小程序,首先可以先配置好自己的服务器或者是云环境,服务器的方法就不说了&#xff0…

前端实训——Day01

前言 学校最近开始实训周了,一上就是一个月,本来想在课上学点考研的东西的,但是无奈任务重,而且最后还能有点小奖励,就认真学了,再者说,html也挺重要的,学一学也不算浪费时间。 软…

Linux——安装tomcat并部署项目

目录 1、准备阶段 2、具体步骤 2.1、下载tomcat安装包 2.2、上传tomcat安装包 2.3、启动tomcat 2.4、访问页面 3、部署Maven项目至tomcat 3.1、打包Maven项目 3.2、上传打包后的war包至Linux 3.3、修改连接数据库配置文件中的ip 3.4、访问项目 3.5、直接访问ip访问…

Promise理解+ JS 的执行机制

做一道题,理解一下: function getPrinterList() {let res 初始setTimeout(() > {res 1},1000)return res }let res getPrinterList() console.log(res); //输出初始 在getPrinterList函数中,先分清同步异步. JS执行语句时,会区分同步异步,把所有的同步放在同步队列中,把…

【Python pymongo】零基础也能轻松掌握的学习路线与参考资料

Python pymongo是一款基于Python的MongoDB数据库的驱动程序,它提供了操作MongoDB数据库的接口和方法。学习Python pymongo可以帮助开发者更好地使用MongoDB数据库,从而实现更好的数据存储和管理。在这篇文章中,我们将介绍Python pymongo的学习…

chatgpt赋能Python-python_bin__

Python中的bin()方法:将数字转换为二进制字符串 Python中内置的bin()函数是一个非常有用的工具,它可以将一个整数转换成一个二进制字符串。这个函数非常简单易用,对于任何需要进行二进制操作的开发者来说都是一个必不可少的工具。 什么是二…

chatgpt赋能Python-python_bio包

Python Bio包:简介、功能和应用 Python Bio包是什么 Python Bio包是一套专门为生物信息学而设计的Python模块。它包含了许多优秀的工具和算法,可以帮助生物学家们解决各种生物问题。Python Bio包主要由五个子模块组成: Bio.Seq&#xff1a…

EXP-00026: conflicting modes specified

今天下午现场项目经理问了一个问题,直接上截图,问是不是客户端不兼容? C:\Users\Administrator>exp usr_jwc/Test#123192.16.50.100:1521/orcl ownerusr_jwc fully fileC:\ABCD20230521.dmp logC:\imp_ABCD20230521.log Export: Release…

day38_Servlet

今日内容 零、 复习昨日 一、Servlet 二、HTTP 三、HttpServlet 零、 复习昨日 见晨考 一、Servlet 1.1 介绍 javaweb开发,就是需要服务器接收前端发送的请求,以及请求中的数据,经过处理(jdbc操作),然后向浏览器做出响应. 我们要想在服务器中写java代码来接收请求,做出响应,我…

chatgpt赋能Python-python_aipspeech

Python Aipspeech介绍与优势分析 什么是Python Aipspeech? Python Aipspeech是一种基于Python编程语言的语音识别API,可以实现语音转文字、语音合成、语音唤醒等功能。它基于Aipspeech强大的语音识别引擎,可以实现高精度的语音识别&#xf…

香港VPS服务器如何屏蔽指定访客ip?

​  如果你是一个香港VPS服务器的管理员,你可能会遇到一些不良用户或者恶意攻击者,这些人会尝试通过不断的访问和攻击你的网站来破坏你的网站的运行。如何保护你的网站,你需要使用一些方法来屏蔽这些指定的访客IP。 首先,你需要…

某医院内部网络攻击分析案例

分析概要 分析概要从以下三点做介绍。 分析内容 NetInside网络流量分析设备采集的流量。 分析时间 报告分析时间范围为:2020-09-28 07:58:00-11:58:00,时长共计3小时。 分析目的 本报告主要分析目的:查找和定位存在可疑现象的主机、查…

当你学会这项python数据提取神器时,请做好升职准备!

一、什么是 jsonpath ● JsonPath 是一种信息抽取类库,是从 JSON 文档中抽取指定信息的工具,提供多种语言实现版本,包括:JavaScript、Python、PHP 和 Java。 *文末领10节自动化精品课* 二、特点 ● 只能提取 JSON 格式的数据 ●…

Postman和Jmeter的区别

01、创建接口用例集 Postman 是 Collections,Jmeter 是线程组,没什么区别。 02、 步骤的实现 Postman 和 jmeter 都是创建 http 请求 区别 1:postman 请求的URL 是一个整体,jmeter 分成了 4 个部分(协议、主机、端…

chatgpt赋能Python-pythonsub

Python Sub- 快捷、高效的字符串替换工具 如果你是一个有大量文本替换需求的开发者,Python Sub 库是一个你一定不能错过的工具。Python Sub 是一个快捷、高效的字符串替换工具,帮助你快速轻松地替换字符串,优化你的工作效率。 Python Sub 提…