1.概述
Casbin是一个强大的、高效的开源访问控制框架,其权限管理机制支持多种访问控制模型。
2.安装
go get github.com/casbin/casbin3.项目目录
工作原理介绍:
导入cosbin包后,主要的文件有模型文件casbin_rbac_model.conf ,权限策略文件Policy.csv(存放权限策略,也可以用mysql代替),在需要判断用户有没有权限能访问的地方,使用Enforce()这个函数就会返回用户能否访问,就这么简单。
4、模型文件(Model.conf),具体语法可以参考官方教程?Model语法
# 请求
[request_definition]
r = sub,obj,act
# sub ——> 想要访问资源的用户角色(Subject)——请求实体
# obj ——> 访问的资源(Object)
# act ——> 访问的方法(Action: get、post...)
# 策略(.csv文件p的格式,定义的每一行为policy rule;p,p2为policy rule的名字。)
[policy_definition]
p = sub,obj,act
# p2 = sub,act 表示sub对所有资源都能执行act
# 组定义
[role_definition]
g = _, _
# _,_表示用户,角色/用户组
# g2 = _,_,_ 表示用户, 角色/用户组, 域(也就是租户)
# 策略效果
[policy_effect]
e = some(where (p.eft == allow))
# 上面表示有任意一条 policy rule 满足, 则最终结果为 allow;p.eft它可以是allow或deny,它是可选的,默认是allow
# 匹配器
[matchers]
m = r.sub == p.sub && keyMatch(r.obj,p.obj) && (r.act==p.act || p.act == "*") || r.sub=="superTest" || r.sub=="admin"
#m = r.sub == p.sub && ParamsMatch(r.obj,p.obj) && r.act == p.act
# r.sub="xxx"表示实体为superTest的直接通过参数详解:
这是一个模型文件,里面定义的都是自定义的参数,只要统一命名就可以了。具体如下:
第一项:请求
[request_definition]
r = sub,obj,act这里的? ?r = sub,obj,act? ?,定义以变量 r 作为请求对象,后面的sub,obj,act这三项是权限控制的维度。以一个普通会员权限管理系统而言,一般第一个sub指代表访问者的标志(如会员ID,会员帐号或会员角色等)(只是一个变量而已,但要和后面的其它项对应使用),第二个obj指访问的URL(如),第三项act为方法(这是每一个URL页面以方法方式再细分的权限单元)。当然还可以有第四参数,第五参数。。。。。。
第二项:策略
[policy_definition]
p = sub,obj,act这个策略是和请求一一对应的,因为控制请求权限,就需要这个策略做比对,所以参数名字尽量与请求保持一致,以更容易理解。
第三项:策略效果,这个是以第四项为基础的,
# 策略效果
[policy_effect]
e = some(where (p.eft == allow))
# 上面表示有任意一条 policy rule 满足, 则最终结果为 allow;p.eft它可以是allow或deny,它是可选的,默认是allow第四项,匹配器:
[matchers]
m = r.sub == p.sub && keyMatch(r.obj,p.obj) && (r.act==p.act || p.act == "*") || r.sub=="superTest" || r.sub=="admin"
# r.sub="xxx"表示实体为superTest或admin的直接通过这个是以第二项为基础对第一项进行判断的逻辑。
所以这个模型文件(Model.conf)也可以写为:
# 请求
[request_definition]
r = member,url,action
# sub ——> 想要访问资源的用户角色(Subject)——请求实体
# obj ——> 访问的资源(Object)
# act ——> 访问的方法(Action: get、post...)
# 策略(.csv文件p的格式,定义的每一行为policy rule;p,p2为policy rule的名字。)
[policy_definition]
p = member,url,action
# p2 = sub,act 表示sub对所有资源都能执行act
# 组定义
[role_definition]
g = _, _
# _,_表示用户,角色/用户组
# g2 = _,_,_ 表示用户, 角色/用户组, 域(也就是租户)
# 策略效果
[policy_effect]
e = some(where (p.eft == allow))
# 上面表示有任意一条 policy rule 满足, 则最终结果为 allow;p.eft它可以是allow或deny,它是可选的,默认是allow
# 匹配器
[matchers]
m = r.member == p.member && keyMatch(r.member,p.url) && (r.action==p.action || p.action == "*") || r.member=="superTest" || r.member=="admin"
# r.sub="xxx"表示实体为superTest的直接通过5、策略文件Policy.csv,这相当于一个数库文件,也可以用MYSQL代替,此文暂不介绍。
p, admin, /tt, read
p, admin, /tt2, write这里的数据是以第一个文件里(Model.conf)里的第二项格式进行设置,
?6、Enforce(sub, obj, act)验证权限,
因为casbin是不包含会员系统的,所以这里无法通过登陆动态获取会员号。先引入casbin包,这里直接测试admin用户是否具有URL为/tt页面里read方法以权限,则直接用
Enforce(e, "admin", "/tt", "read")
完整的测试文件如下:
package main
import (
"fmt"
"github.com/casbin/casbin/v2"
"github.com/gin-gonic/gin"
"log"
//"log"
//"runtime"
)
func main() {
router := gin.Default()
router.GET("/tt", Tesc)
router.Run(":8081")
}
func Tesc(c *gin.Context) {
e, err := casbin.NewEnforcer("./conf/casbin_rbac_model.conf", "./conf/Policy.csv")
if err != nil {
log.Fatalf("NewEnforecer failed:%v\n", err)
}
Check(e, "admin", "/tt", "read")
}
func Check(e *casbin.Enforcer, sub, obj, act string) {
ok, _ := e.Enforce(sub, obj, act)
if ok {
fmt.Printf("%s CAN %s %s\n", sub, act, obj)
} else {
fmt.Printf("%s CANNOT %s %s\n", sub, act, obj)
}
}
启动服务器后,访问
http://localhost:8081/tt控制台输出如下:
