小工具      在线工具  汉语词典  css  js  c++  java

casbin基于RBAC模型实现权限管理

# 中间件,casbin 额外说明

收录于:152天前

在casbin中权限都是基于匹配规则和访问控制模型实现的,除了上一章的前交叉韧带的实现方式,还有一个常用的访问控制模型RBAC。该模型带上了用户角色,基本满足大多数角色管理的系统。

RBAC模型中额外存在一种角色策略机制,其访问模型规则如下:

# 请求格式
[request_definition]
r = sub, obj, act


# 策略
[policy_definition]
p = sub, obj, act

# 账户和角色
[role_definition]
g = _, _

# 效果
[policy_effect]
e = some(where (p.eft == allow))

# 匹配规则
[matchers]
m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act

在该访问模型中,策略policy_definition规定了请求的格式,策略是通行访问权限的第一步,请求定义request_definition是依赖策略的,请求向外暴露,用于接收外部传递的访问参数,框架在于策略对比,符合policy_definition的定义才能到下一步。

p,xiaoxu,data1,add
p,xiaoxu,data1,delete
p,xiaoxu,data1,update

规则中定义几个匹配规则,p代表语句,后面是定义的sub、obj、act;使用时,request_definition负责程序对接,将参数传递给request,即对应的r.sub,r,obj,r.act;然后在上面定义的规则中查询是否存在,则相同。

policy_definition只是定义了策略,实际的值需要需要定义,包含两种定义方式一种是配置csv文件,通过程序读取;另一种是存档到数据库程序查询。

role_definition是定义用户和角色的,第一个参数为用户,第二个参数为角色,由于两部分都是用户自定义的因此此处为占位符。其匹配原理和policy_definition策略一样。其实际的值定义也可以使用csv配置文件和数据库。

p, alice, data1, read
p, bob, data2, write
p, data2_admin, data2, read
p, data2_admin, data2, write

g, alice, data2_admin

在规则定义中,p定义了策略的实际变量,g定义了角色的实际变量。这里需要注意的是,当定义p规则时,sub的值可以由用户调整或者校准,因为其模型定义的sub是一个接入实体。

有了角色管理后matchers匹配规则也需要加入响应的规则,来实现:

m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act

在校色匹配规则中必须满足g(r.sub, p.sub) 的用户和角色的配置。

p, alice, data1, read
p, bob, data2, write
p, data2_admin, data2, read
p, data2_admin, data2, write

g, alice, data2_admin

更多动作

该系统找不到指定的路径

casbin作为访问控制框架的基本步骤:

  1. 配置访问控制模型
  2. 配置策略(csv 文件或数据库)
  3. 程序中的变量和策略按照模型规则进行匹配。
  4. 访问释放逻辑和阻塞逻辑

在这里插入图片描述

// modle.conf

[request_definition]
r = sub, obj, act

[policy_definition]
p = sub, obj, act

[role_definition]
g = _, _

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act
//策略csv

p, alice, data1, read
p, bob, data2, write
p, data2_admin, data2, read
p, data2_admin, data2, write

g, alice, data2_admin
//程序中casbin
package main

import (
	"fmt"
	"github.com/casbin/casbin/v2"
)

// 定义casbin模型
func casBin(sub, obj, act string) bool {
    
	e, err := casbin.NewEnforcer("rbac/model.conf", "rbac/policy.csv")
	if err != nil {
    
		println(err.Error())
		return false
	}
	enforce, err := e.Enforce(sub, obj, act)
	if err != nil {
    
		println(err.Error())
		return false
	}
	return enforce
}

func main() {
    
	bin := casBin("alice", "data2", "read")
	fmt.Println(bin)
}

casbin框架自动识别加载的配置文件的框架。

通过策略进行配置的方法在一定条件下有局限性,因为角色管理的权限是动态的,所以使用配置文件比较麻烦,而使用数据库存储比较方便。

策略文件中,存储方式为csv,格式如下:

p, data2_admin, data2, read
p, data2_admin, data2, write
g, alice, admin

在数据库中存储用二维表表示:
在这里插入图片描述

id: 仅存在于数据库中作为主键。 不是级联策略 的一部分。 它生成的方式取决于特定的适配器
ptype: 它对应 p, g 等等。
v0-v5: 列名称没有特定的意义, 并对应 policy csv 从左到右的值。 列数取决于自定义的数量。

在Casbin中,策略存储是作为适配器(Casbin的中间件)实现的。 Casbin 用户可以使用适配器从存储中加载策略规则(又名 LoadPolicy())或将策略规则保存到其中(又名 SavePolicy())。

基于xorm适配器

数据库实现步骤:

  1. 选择orm框架配置数据库适配器
  2. Casbin 的执行器加载模型和数据库适配器
  3. 建立权限表
  4. 权限表与用户表绑定,实现权限认证。
package main

import (
	"fmt"
	"github.com/casbin/casbin/v2"
	xormadapter "github.com/casbin/xorm-adapter/v2"
	_ "github.com/go-sql-driver/mysql"
	"log"
)

var enfocer *casbin.Enforcer

func init() {
    
	a, err := xormadapter.NewAdapter("mysql", "root:root@tcp(127.0.0.1:3306)/test?charset=utf8", true)
	if err != nil {
    
		log.Printf("连接数据库错误:%v", err)
		return
	}
	e, err := casbin.NewEnforcer("rbac/model.conf", a)
	if err != nil {
    
		log.Printf("初始化casbin错误:%v", err)
		return
	}

	enfocer = e
}

//匹配
func Casbin(sub, obj, act string) bool {
    
	enforce, err := enfocer.Enforce(sub, obj, act)
	if err != nil {
    
		log.Printf("casbin规则匹配失败:%v", err)
		return false
	}
	return enforce
}

//添加
func addPolicy(auth, url, method string) bool {
    
	policy, _ := enfocer.AddPolicy(auth, url, method)
	if !policy {
    
		fmt.Println("已存在!")
	} else {
    
		fmt.Println("添加成功!")
	}
	return policy
}

func main() {
    
	auth := "admin"
	url := "/api/v1/home"
	method := "get"
	policy := addPolicy(auth, url, method)
	if policy {
    
		enfocer.SavePolicy()
	} else {
    
		fmt.Println("添加数据库失败!")
	}

}

在上面的程序中,使用xorm适配器加载配置数据库:

a, err := xormadapter.NewAdapter("mysql", "root:root@tcp(127.0.0.1:3306)/test?charset=utf8", true)

casbin 加载配置模型和适配器

e, err := casbin.NewEnforcer("rbac/model.conf", a)

AddPolicy方法在权限表添加内容:

enfocer.AddPolicy(auth, url, method)

使用程序enfocer.AddPolicy(auth, url, method)会添加一个权限表,p_type为策略的定义,v0,v1没有特别的意义表示p后的规则。

在这里插入图片描述

使用e.Enforce("alice", "data1", "read")方法检查数据库表中是否存在该权限。

在csv配置中,p后面的sub可以是用户名或角色名。但是使用数据库作为配置后,casbin_rule就变成了一个单独的权限表,需要连接到user表来代表user表的权限。

Casbin提供了以下方法来添加、删除、修改和检查权限:

// Load the policy from DB.
e.LoadPolicy()

// Check the permission.
e.Enforce("alice", "data1", "read")

// Modify the policy.
// e.AddPolicy(...)
// e.RemovePolicy(...)

// Save the policy back to DB.
e.SavePolicy()

在应用中,casbin生成的表一般是权限表,需要构建账户表,将账户的角色名与casbin的权限进行比较,判断是否拥有权限。

package main

import (
	"github.com/casbin/casbin/v2"
	xormadapter "github.com/casbin/xorm-adapter/v2"
	"github.com/gin-gonic/gin"
	_ "github.com/go-sql-driver/mysql"
	"log"
	"xorm.io/xorm"
)

var Enfocer *casbin.Enforcer

var DB *xorm.Engine

func init() {
    
	//数据库引擎配置
	engine, err := xorm.NewEngine("mysql", "root:root@/test?charset=utf8")
	if err != nil {
    
		log.Printf("数据库驱动错误:%v", err)
		return
	}
	DB = engine
	//casbin适配器配置
	a, err := xormadapter.NewAdapter("mysql", "root:root@tcp(127.0.0.1:3306)/test?charset=utf8", true)
	if err != nil {
    
		log.Printf("连接数据库错误:%v", err)
		return
	}
	e, err := casbin.NewEnforcer("rbac/model.conf", a)
	if err != nil {
    
		log.Printf("初始化casbin错误:%v", err)
		return
	}

	Enfocer = e
}

func main() {
    

	//controller
	engine := gin.Default()
	engine.GET("/api/v1", casbinAuth(), func(context *gin.Context) {
    
		context.String(200, " data1 list ...")
	})
	engine.GET("/api/v2", casbinAuth(), func(context *gin.Context) {
    
		context.String(200, "data1 add ...")
	})
	engine.GET("/api/v3", casbinAuth(), func(context *gin.Context) {
    
		context.String(200, "data1 delete ...")
	})
	engine.Run("127.0.0.1:8080")

}

func casbinAuth() gin.HandlerFunc {
    
	return func(context *gin.Context) {
    
		//前端参数
		var username Username
		context.ShouldBindJSON(&username)
		//获取账户信息
		var user User
		DB.Where("account = ?", username.Username).Get(&user)
		//获取uri
		uri := context.Request.URL.RequestURI()
		//获取方法
		method := context.Request.Method
		//获取casbin权限
		Enfocer.LoadPolicy()
		//casbin匹配
		enforce, _ := Enfocer.Enforce(user.RoleName, uri, method)
		if !enforce {
    
			context.String(503, "无访问权限!")
			context.Abort()
			return
		} else {
    
			context.Next()
		}

	}

}

type Username struct {
    
	Username string `json:"username"`
}

type User struct {
    
	Id       int    `json:"id"`
	Account  string `json:"account"`
	Nickname string `json:"nick_name"`
	Password string `json:"pass_word"`
	RoleName string `json:"role_name"`
}

账户表:
在这里插入图片描述

权限表(由casbin生成):

在这里插入图片描述

在上图的库中按照逻辑xiaoxu用户可以访问/api/v1经此一个条件。

请添加图片描述

也可以通过casbin提供的方法对账户进行授权,即在casbin生成的casbin_rule中添加一条其他uri的记录。每条记录可以匹配5个字段。

auth := "string"
url := "/api/v2"
method := "get"
policy := addPolicy(auth, url, method)
if policy {
    
enfocer.SavePolicy()
} else {
    
	fmt.Println("添加数据库失败!")
}

将string的权限添加到权限表中,访问路径为/api/v2。然后在角色表中,字符串的角色名称可以访问/api/v2的路径。

在这里插入图片描述

处理流程如图所示。创建用户并授予角色。将角色的权限添加到权限表中。登录时有casbin匹配,权限被释放。

gitee地址-casbin-rbac

. . .

相关推荐

额外说明

开发板在linux下运行虚拟机ubuntu的ping

虚拟机网卡设置可以选择好几种方式,常用的就是NAT和桥接(bridged) 虚拟机要和开发板进行网络通信,只能通过桥接方式连接。 虚拟机要想被开发板ping通,设置步骤如下: 第一步:虚拟机设置成桥接方式。 第二步:虚拟机的菜单中有个“虚拟网络编辑器”,

额外说明

MyBatisPlus之MyBatisX插件

MyBatisPlus之MyBatisPlusX插 件 1.0 MyBatisX插件 1.1 下载MyBatisX插件 1.2 绑定mysql数据源 1.3 配置自动生成代码 2.0 自动生成sql 件) 文章顺序及整体目录可查看(点我即可) 之前写的一

额外说明

运维知识点-MySQL从小白到入土

MySQL从小白到入土 mysql 服务器安装 windows mysql 服务 漏洞复现-mysql jdbc反序列化-权限绕过 mysql 服务器安装 https://dev.mysql.com/downloads/mysql/ https://

额外说明

Java基础 第三节 第十二课

List 的子类 ArrayList 集合 LinkedList 集合 ArrayList 集合 java.util.ArrayList集合数据存储的结构是数组结构. 元素增删慢, 查找块, 由于日常开发中使用多的功能为查询数据, 遍历数据. 所以Arr

额外说明

Linux 挖矿程序把病毒文件锁住了,删不了,怎么破?(chattr)

- 有幸,遇到过几次挖矿病毒,Linux 主机的关键命令都被删除替换,病毒文件被加了 i 只读权限,变成只读文件,root 无法修改删除!- 本文就讲讲,怎么把这些加了锁的只读文件去 i 取消只读! chattr 就是这个命令,设置只读加 i,万恶的挖矿

额外说明

如何在IDEA上实现JDBC编程

-人生在世,不如意事常八九,若把烦恼全都写在纸上,时间长了纸也会烦。所以,没事的时候给自己多一些微笑,少一些烦恼。- -作者:不能再留遗憾了- -专栏:MySQL学习- -本文章主要内容:在IDEA上如何搭建JDBC环境以及如何实现JDBC编程。- 前言

额外说明

C++指针未初始化引发的程序奔溃问题

        在功能自测的时候无意中发现了一个奔溃的问题,于是立即进入debug模式进行调试,复现了之前的奔溃情况,结果发现是奔溃在对指针操作的地方。于是,怀疑是不是出现对空指针进行操作了,查看了指针的值,是“0xcdcdcdcd”。也没多想,既然不是

额外说明

通过Power Platform自定义D365 CE 业务需求 - 5. 使用Power Virtual Agent

微软Power Virtual Agent(PVA)是Power平台的另一个重要支柱,无代码、少代码的系统。使用PVA,你可以创建数字聊天机器人,可以像人类一样与真正的最终用户互动。使用聊天机器人,您可以快速响应客户和员工的需求。无需编码。您可以通过聊天

额外说明

PerFieldAnalyzerWrapper 使用

在前面的系列我们一直在介绍有关索引建立的问题,现在是该利用这些索引来进行搜索的时候了,Lucene良好的架构使得我们只需要很少的几行代码就可以为我们的应用加上搜索的功能,首先让我们来认识一下搜索时最常用的几个类. 查询特定的某个概念 当我们搜索完成的时候

额外说明

Windows提示缺少netapi32.dll文件如何解决?

其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或者损坏了,这时你只需下载这个netapi32.dll文件进行安装(前提是找到适合的版本),

ads via 小工具