2. 程式人生 > >casbin-權限管理

casbin-權限管理

阿新 發佈:2018-11-20
sse 覆蓋 bin str 定義 技術分享 角色 access star

概要

權限管理幾乎是每個系統或者服務都會直接或者間接涉及的部分. 權限管理保障了資源(大部分時候就是數據)的安全, 權限管理一般都是和業務強關聯, 每當有新的業務或者業務變化時, 不能將精力完全放在業務實現上, 權限的調整往往耗費大量的精力.

其實, 權限的本質沒有那麽復雜, 只是對訪問的控制而已, 有一套完善的訪問控制接口, 再加上簡單的權限模型. 權限模型之所以能夠簡單, 就是因為權限管理本身並不復雜, 只是在和具體業務結合時, 出現了各種各樣的訪問控制場景, 才顯得復雜.

PERM 模型

PERM(Policy, Effect, Request, Matchers)模型很簡單, 但是反映了權限的本質 – 訪問控制

  • Policy: 定義權限的規則
  • Effect: 定義組合了多個 Policy 之後的結果, allow/deny
  • Request: 訪問請求, 也就是誰想操作什麽
  • Matcher: 判斷 Request 是否滿足 Policy

技術分享圖片

casbin 權限庫

casbin 使用了 PERM 模型來表達權限, 並且提供了簡單直接的 API.

核心概念

model file

用來定義具體的權限模型, 目前支持的模型基本覆蓋了常見的所有場景:

  1. ACL
  2. ACL with superuser
  3. ACL without users
  4. ACL without resources
  5. RBAC
  6. RBAC with resource roles
  7. RBAC with domains/tenants
  8. ABAC
  9. ……

model file 定義語法

casbin 是基於 PERM 的, 所有 model file 中主要就是定義 PERM 4 個部分.

  1. Request definition

    [request_definition]
r = sub, obj, act

    分別表示 request 中的

    • accessing entity (Subject)
    • accessed resource (Object)
    • the access method (Action)

  2. Policy definition

    [policy_definition]
p = sub, obj, act
p2 = sub, act

    定義的每一行稱為 policy rule, p, p2 是 policy rule 的名字. p2 定義的是 sub 所有的資源都能執行 act

  3. Policy effect

    [policy_effect]
e = some(where (p.eft == allow))

    上面表示有任意一條 policy rule 滿足, 則最終結果為 allow

  4. Matchers

    [matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

    定義了 request 和 policy 匹配的方式, p.eft 是 allow 還是 deny, 就是基於此來決定的

  5. Role

    [role_definition]
g = _, _
g2 = _, _
g3 = _, _, _

    g, g2, g3 表示不同的 RBAC 體系, _, _ 表示用戶和角色 _, _, _ 表示用戶, 角色, 域(也就是租戶)

policy file

定義具體的策略, 權限的檢查就是基於定義的 model file 和 policy file 來完成的.

相對於 model file 定義規則, policy file 中定義的就是具體的內容.

RBAC 示例

定義 model file

[request_definition]
r = sub, obj, act

[policy_definition]
p = sub, obj, act

[role_definition]
g = _, _

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act

定義 policy file

p, superAdmin, project, read
p, superAdmin, project, write
p, admin, project, read
p, admin, project, write
p, admin, asse, read
p, admin, asse, write
p, zhuangjia, project, write
p, zhuangjia, asse, write
p, shangshang, project, read
p, shangshang, asse, read

g, quyuan, admin
g, wenyin, zhuangjia

測試代碼

package rbac

import (
  "fmt"
  "log"

  "github.com/casbin/casbin"
)

func TestRBAC() {
  e := casbin.NewEnforcer("rbac/rbac.conf", "rbac/rbac.csv")

  fmt.Printf("RBAC test start\n") // output for debug

  // superAdmin
  if e.Enforce("superAdmin", "project", "read") {
    log.Println("superAdmin can read project")
  } else {
    log.Fatal("ERROR: superAdmin can not read project")
  }

  if e.Enforce("superAdmin", "project", "write") {
    log.Println("superAdmin can write project")
  } else {
    log.Fatal("ERROR: superAdmin can not write project")
  }

  // admin
  if e.Enforce("quyuan", "project", "read") {
    log.Println("quyuan can read project")
  } else {
    log.Fatal("ERROR: quyuan can not read project")
  }

  if e.Enforce("quyuan", "project", "write") {
    log.Println("quyuan can write project")
  } else {
    log.Fatal("ERROR: quyuan can not write project")
  }

  if e.Enforce("quyuan", "asse", "read") {
    log.Println("quyuan can read asse")
  } else {
    log.Fatal("ERROR: quyuan can not read asse")
  }

  if e.Enforce("quyuan", "asse", "write") {
    log.Println("quyuan can write asse")
  } else {
    log.Fatal("ERROR: quyuan can not write asse")
  }

  // zhuangjia
  if e.Enforce("wenyin", "project", "read") {
    log.Fatal("ERROR: wenyin can read project")
  } else {
    log.Println("wenyin can not read project")
  }

  if e.Enforce("wenyin", "project", "write") {
    log.Println("wenyin can write project")
  } else {
    log.Fatal("ERROR: wenyin can not write project")
  }

  if e.Enforce("wenyin", "asse", "read") {
    log.Fatal("ERROR: wenyin can read asse")
  } else {
    log.Println("wenyin can not read asse")
  }

  if e.Enforce("wenyin", "asse", "write") {
    log.Println("wenyin can write asse")
  } else {
    log.Fatal("ERROR: wenyin can not write asse")
  }

  // shangshang
  if e.Enforce("shangshang", "project", "read") {
    log.Println("shangshang can read project")
  } else {
    log.Fatal("ERROR: shangshang can not read project")
  }

  if e.Enforce("shangshang", "project", "write") {
    log.Fatal("ERROR: shangshang can write project")
  } else {
    log.Println("shangshang can not write project")
  }

  if e.Enforce("shangshang", "asse", "read") {
    log.Println("shangshang can read asse")
  } else {
    log.Fatal("ERROR: shangshang can not read asse")
  }

  if e.Enforce("shangshang", "asse", "write") {
    log.Fatal("ERROR: shangshang can write asse")
  } else {
    log.Println("shangshang can not write asse")
  }
}

多租戶示例

定義 model file

[request_definition]
r = sub, dom, obj, act

[policy_definition]
p = sub, dom, obj, act

[role_definition]
g = _, _, _

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = g(r.sub, p.sub, r.dom) && r.dom == p.dom && r.obj == p.obj && r.act == p.act

定義 policy file

p, superAdmin, gy, project, read
p, superAdmin, gy, project, write
p, superAdmin, jn, project, read
p, superAdmin, jn, project, write
p, admin, gy, project, read
p, admin, gy, project, write
p, admin, jn, asse, read
p, admin, jn, asse, write
p, zhuangjia, jn, project, write
p, zhuangjia, gy, asse, write

g, quyuan, admin, gy
g, quyuan, admin, jn
g, wenyin, zhuangjia, gy
g, shangshang, zhuangjia, jn

測試代碼

package tenants

import (
  "fmt"
  "log"

  "github.com/casbin/casbin"
)

// TestTenants test tenants
func TestTenants() {
  e := casbin.NewEnforcer("tenants/tenants.conf", "tenants/tenants.csv")

  fmt.Printf("RBAC TENANTS test start\n") // output for debug

  // superAdmin
  if e.Enforce("superAdmin", "gy", "project", "read") {
    log.Println("superAdmin can read project in gy")
  } else {
    log.Fatal("ERROR: superAdmin can not read project in gy")
  }

  if e.Enforce("superAdmin", "gy", "project", "write") {
    log.Println("superAdmin can write project in gy")
  } else {
    log.Fatal("ERROR: superAdmin can not write project in gy")
  }

  if e.Enforce("superAdmin", "jn", "project", "read") {
    log.Println("superAdmin can read project in jn")
  } else {
    log.Fatal("ERROR: superAdmin can not read project in jn")
  }

  if e.Enforce("superAdmin", "jn", "project", "write") {
    log.Println("superAdmin can write project in jn")
  } else {
    log.Fatal("ERROR: superAdmin can not write project in jn")
  }

  // admin
  if e.Enforce("quyuan", "gy", "project", "read") {
    log.Println("quyuan can read project in gy")
  } else {
    log.Fatal("ERROR: quyuan can not read project in gy")
  }

  if e.Enforce("quyuan", "gy", "project", "write") {
    log.Println("quyuan can write project in gy")
  } else {
    log.Fatal("ERROR: quyuan can not write project in gy")
  }

  if e.Enforce("quyuan", "jn", "project", "read") {
    log.Fatal("ERROR: quyuan can read project in jn")
  } else {
    log.Println("quyuan can not read project in jn")
  }

  if e.Enforce("quyuan", "jn", "project", "write") {
    log.Fatal("ERROR: quyuan can write project in jn")
  } else {
    log.Println("quyuan can not write project in jn")
  }

  if e.Enforce("quyuan", "gy", "asse", "read") {
    log.Fatal("ERROR: quyuan can read asse in gy")
  } else {
    log.Println("quyuan can not read asse in gy")
  }

  if e.Enforce("quyuan", "gy", "asse", "write") {
    log.Fatal("ERROR: quyuan can write asse in gy")
  } else {
    log.Println("quyuan can not write asse in gy")
  }

  if e.Enforce("quyuan", "jn", "asse", "read") {
    log.Println("quyuan can read asse in jn")
  } else {
    log.Fatal("ERROR: quyuan can not read asse in jn")
  }

  if e.Enforce("quyuan", "jn", "asse", "write") {
    log.Println("quyuan can write asse in jn")
  } else {
    log.Fatal("ERROR: quyuan can not write asse in jn")
  }

  // wenyin
  if e.Enforce("wenyin", "gy", "asse", "write") {
    log.Println("wenyin can write asse in gy")
  } else {
    log.Fatal("ERROR: wenyin can not write asse in gy")
  }

  if e.Enforce("wenyin", "jn", "asse", "write") {
    log.Fatal("ERROR: wenyin can write asse in jn")
  } else {
    log.Println("wenyin can not write asse in jn")
  }

  // shangshang
  if e.Enforce("shangshang", "jn", "project", "write") {
    log.Println("shangshang can write project in jn")
  } else {
    log.Fatal("ERROR: shangshang can not write project in jn")
  }

  if e.Enforce("shangshang", "gy", "project", "write") {
    log.Fatal("ERROR: shangshang can write project in gy")
  } else {
    log.Println("shangshang can not write project in gy")
  }
}

總結

casbin 權限管理庫比較簡單, 易上手, 但是它的功能卻不簡單, 支持了目前主流的所有權限管理場景. 在使用上, model file 和 poclicy file 的定義也簡單明了, 抽象出了權限管理最本質的東西.

將具體業務中的權限要求映射到 casbin 中 model file, 就可以借助 casbin 的 API, 快速的實現權限管理.

casbin-權限管理

相關推薦

casbin-管理

sse 覆蓋 bin str 定義 技術分享 角色 access star 概要 權限管理幾乎是每個系統或者服務都會直接或者間接涉及的部分. 權限管理保障了資源(大部分時候就是數據)的安全, 權限管理一般都是和業務強關聯, 每當有新的業務或者業務變化時, 不能將精力完全放在

beego利用casbin進行管理——第四節 策略更新

casbin onlyoffcie engineercms 權限設計 移步到這裏近4個月沒有更新這個系列。這個系列都是我粗淺的理解,其中我感覺有些的思路並非最優,並不合主流概念,因為我沒去學習rbac之類的概念,僅供參考。特別是對於權限設計的處理方式,casbin是盡量用它自己的查詢方式,因為

PHP -Casbin: 支持 ACL、RBAC、ABAC 多種模型的 PHP 管理框架

驗證 應該 resource 定義 tro admin basic 技術分享 sed PHP-Casbin 是一個用 PHP 語言打造的輕量級開源訪問控制框架( https://github.com/php-casbin/php-casbin ),目前在 GitHub 開源

go web 管理 解決方案 (面向對象 ABAC / Casbin)

code com type main als 說明 som pack mode go web 權限管理 解決方案 (面向對象權限 ABAC / Casbin) 說明 ABAC調用 github.com/casbin/casbin abac_model.conf

從零開始——基於角色的管理01(補充)

itl jsp mage logs log sonar class htm -1 此博文較為詳細的介紹從零開始——基於角色的權限管理01文中的兩個部分的流程(解釋代碼)。 1)  index.jsp中提交跳轉action      action的login,獲取jsp頁面傳

MySQL 用戶管理

查詢 eight sql tex utf8 grant line 增長 div -- 創建數據庫 create database Tset default character set utf8 collate utf8_general_ci ; -- 使用數據庫 use

網站管理 之 角(jue)色管理

alt 逗號 ont 清除 ++ function 字符串 b- 如果 公司或網站的正常運行,離不開管理員對各個員工的合理分配,那先看看權限管理中的角色管理好了: 要更改用戶的角色,那麽先來理一下思路: (1)用戶現在是什麽角色? (2)用戶將要成為什麽角色? (3)怎樣更

php管理(用戶界面實現)

子查詢 header 角色 borde char idt data log art 上一篇介紹的是管理員頁面,能完成對用戶的角色修改和保存,這裏來說一下用戶界面,用戶通過登錄,顯示出其對應功能界面。 1.登錄頁面(用的ajax,也可以用php表單提交方式) 1 <

Linux用戶、組和管理(一)

linux用戶、組使用Linux是一個Multi-tasks(多任務)、 Multi-Users(多用戶)的系統每一個登陸者或使用者都有用戶標識、密碼(所謂3A) 所謂的3A: Authentication(驗證機制) Authorization(授權機制) Audition(審計)組的概

mysql基礎(四)用戶管理和root密碼恢復

mysqlmysql用戶由用戶和主機名組成,[email protected]/* */,mysql的用戶和權限信息存儲在mysql庫中 mysql數據庫表: user #用戶賬號、全局權限 db #庫級別權限 host #主機 tables_priv

mysql 管理

height -h spa lac lin 管理 alt side one #給用戶cacti賦予所有庫的所有權限 GRANT ALL PRIVILEGES ON *.* TO ‘cacti‘@‘%‘ IDENTIFIED BY ‘cacti‘ WITH GRANT

mysql-管理

查詢 code zhang ngs pan option mysql- pre 所有 查詢用戶: select User from user; 授權權限: 授予指定權限: grant insert,select on *.* to ‘us

Android Studio第四十期 - 上傳頭像功能支持管理

android 服務器 代碼已經整理好,加了權限管理和SP保存上傳服務器的方法,希望能夠幫到大家~效果如下圖: 地址:https://github.com/geeklx/MyApplication/tree/master/p025_upload_img 附:這裏借鑒了翔神(

第3章 文件的管理

其他屬性 文件系統 strong 問題 ble wan centos 準備 行為 本文目錄: 3.1 文件/目錄的權限 3.2 實現權限的本質 3.3 umask說明 3.4 文件的擴展ACL權限 3.5 文件隱藏屬性 3.6 suid/sgid/sbit 3.1

管理

管理員 reference file 權限管理: r: w: x:三類用戶: u:屬主 g:屬組 o:其他用戶chown:改變文件屬主(只有管理員可以使用此命令)chown [OPTION]... [OWNER][:[GROUP]] FILE...chown u

MySQL 管理簡單篇

mysql創建用戶CREATE USER 用戶名 IDENTIFIED BY 密碼示例:CREATE USER kaigexuetang IDENTIFIED BY ‘kaige123.com’;刪除用戶註意刪除用戶需要取消權限DROP USER []示例:DROP USER kaigexuetang;賦

第一篇、Android Supersu 管理定制,隱藏過濾,指定APP最高

權限 一律 例如 mod 系統 權限管理 過濾 tracking 屏蔽 近期有個需求,在預裝ROM的時候,須要權限,可是又不同意全部的應用都有權限,僅僅同意自己的應用有最高的權限(當然沒有系統簽名情況下)。 所以。編譯了CM 提取了supersu進行了二次定制,讓他進行

Linux中管理之文件屬性

刪除文件 bsp 加權 改名 文件屬性 顯示 文件內容 linux中權限 linux chattr [+-=][選項] 文件或目錄名   +  增加權限   -   刪除權限   =  等於某權限   選項:   i  文件設置i屬性,不允許對文件進行刪除、改

管理系統---の數據庫

.cn ima 權限 -- 權限管理系統 img log 權限管理 管理 權限管理系統---の數據庫

shiro框架--管理

erp att equal context generate servle req ssi chain 一.maven坐標 1 <!-- 權限控制 框架 --> 2 <dependency> 3 <gr