概念

权限管理几乎是每个系统或者服务都会直接或者间接涉及的部分. 权限管理保障了资源(大部分时候就是数据)的安全, 权限管理一般都是和业务强关联, 每当有新的业务或者业务变化时, 不能将精力完全放在业务实现上, 权限的调整往往耗费大量的精力. 其实, 权限的本质没有那么复杂, 只是对访问的控制而已, 有一套完善的访问控制接口, 再加上简单的权限模型. 权限模型之所以能够简单, 就是因为权限管理本身并不复杂, 只是在和具体业务结合时, 出现了各种各样的访问控制场景, 才显得复杂.

PERM 模型

PERM(Policy, Effect, Request, Matchers)模型很简单, 但是反映了权限的本质 – 访问控制

  1. Policy: 定义权限的规则
  2. Effect: 定义组合了多个 Policy 之后的结果, allow/deny
  3. Request: 访问请求, 也就是谁想操作什么
  4. Matcher: 判断 Request 是否满足 Policy

casbin的作用

  1. 以经典{subject, object, action}形式或您定义的自定义形式实施策略,同时支持允许和拒绝授权。
  2. 处理访问控制模型及其策略的存储。
  3. 管理角色用户映射和角色角色映射(RBAC中的角色层次结构)。
  4. 支持内置的超级用户,例如root或administrator。超级用户可以在没有显式权限的情况下执行任何操作。
  5. 多个内置运算符支持规则匹配。例如,keyMatch可以将资源键映射/foo/bar到模式/foo*。

casbin不执行的操作

  1. 身份验证(又名验证username以及password用户登录时)
  2. 管理用户或角色列表。我相信项目本身管理这些实体会更方便。用户通常具有其密码,而Casbin并非设计为密码容器。但是,Casbin存储RBAC方案的用户角色映射。

在使用Casbin 控制后台接口时使用以下模型

[request_definition]

    r = sub, obj, act

# 请求的规则

# r 是规则的名称,sub 为请求的实体,obj 为资源的名称, act 为请求的实际操作动作

[policy_definition]

    p = sub, obj, act

# 策略的规则

# 同请求

[role_definition]

    g = _, _

# 角色的定义

# g 角色的名称,第一个位置为用户,第二个位置为角色,第三个位置为域(在多租户场景下使用)

[policy_effect]

    e = some(where (p.eft == allow))

# 任意一条 policy rule 满足, 则最终结果为 allow

[matchers]

    m = g(r.sub, p.sub) == true \

     && keyMatch2(r.obj, p.obj) == true \

      && regexMatch(r.act, p.act) == true \

      || r.sub == "root"

# [matchers] 也可以这样写

# m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act || r.sub == "root"

# 前三个用来匹配上面定义的请求的规则, 最后一个或条件为:如果实体是root 直接通过, 不验证权限

RBAC模型的示例策略如下:

p, cityAdmin, /city, GET

p, cityAdmin, /city, POST

p, countyAdmin, /county, GET

g, mayanan, superAdmin

在理解了Casbin 的工作原理后,实际写代码测试一下

需要使用的外部包

go get -u github.com/casbin/casbin  Casbin 官方库

go get -u github.com/casbin/gorm-adapter  Casbin 插件,用来将规则和策略保存到数据库中

go get -u github.com/gin-gonic/gin  Go Web 框架

go get -u github.com/go-sql-driver/mysql  Go MySQL 驱动

方案一

参考链接

点击查看代码 
package main

import (

	"fmt"

	"github.com/casbin/casbin"

	"github.com/casbin/gorm-adapter"

	"github.com/gin-gonic/gin"

	_ "github.com/go-sql-driver/mysql"

	"net/http"

)

func main() {

	// 要使用自己定义的数据库rbac_db,最后的true很重要.默认为false,使用缺省的数据库名casbin,不存在则创建

	a := gormadapter.NewAdapter("mysql", "root:pwdZ@tcp(rm-xxxx.mysql.rds.aliyuncs.com:33016)/my_casbin?charset=utf8mb4&parseTime=True&loc=Local", true)

	e := casbin.NewEnforcer("./test/model.conf", a)

	// 从DB加载策略

	e.LoadPolicy()

	//获取router路由对象

	r := gin.New()

	r.POST("/api/v1/add", func(c *gin.Context) {

		fmt.Println("增加Policy")

		// AddPolicy 向当前策略添加授权规则。如果规则已经存在,函数返回false,不会添加规则。否则,该函数通过添加新规则返回 true

		if ok := e.AddPolicy("admin", "/api/v1/hello", "GET"); !ok {

			fmt.Println("Policy已经存在")

		} else {

			fmt.Println("增加成功")

		}

	})

	//删除policy

	r.DELETE("/api/v1/delete", func(c *gin.Context) {

		fmt.Println("删除Policy")

		// RemovePolicy 从当前策略中删除授权规则。

		if ok := e.RemovePolicy("admin", "/api/v1/hello", "GET"); !ok {

			fmt.Println("Policy不存在")

		} else {

			fmt.Println("删除成功")

		}

	})

	//获取policy

	r.GET("/api/v1/get", func(c *gin.Context) {

		fmt.Println("查看policy")

		// GetPolicy 获取策略中的所有授权规则。

		list := e.GetPolicy()

		for _, vlist := range list {

			for _, v := range vlist {

				fmt.Printf("value: %s, ", v)

			}

		}

	})

	//使用自定义拦截器中间件

	r.Use(Authorize(e))

	//创建请求

	r.GET("/api/v1/hello", func(c *gin.Context) {

		fmt.Println("Hello 接收到GET请求..")

	})

	r.Run(":9000") //参数为空 默认监听8080端口

}

//拦截器

func Authorize(e *casbin.Enforcer) gin.HandlerFunc {

	return func(c *gin.Context) {

		//获取请求的URI

		obj := c.Request.URL.RequestURI()

		//获取请求方法

		act := c.Request.Method

		//获取用户的角色

		sub := "admin"

		//判断策略中是否存在

		if ok := e.Enforce(sub, obj, act); ok {

			fmt.Println("恭喜您,权限验证通过")

			c.Next()

		} else {

			fmt.Println("很遗憾,权限验证没有通过")

			c.Abort()

			c.String(http.StatusUnauthorized, "无权访问")

		}

	}

}

方案二:

参考链接

点击查看代码 
package main

import (

	"fmt"

	"github.com/casbin/casbin"

	"github.com/casbin/gorm-adapter"

	"github.com/gin-gonic/gin"

	_ "github.com/go-sql-driver/mysql"

	"github.com/jinzhu/gorm"

	"net/http"

	//"gorm.io/gorm"

)

// 统一响应结构体

type Response struct {

	Code    int         `json:"code"`

	Message string      `json:"message"`

	Data    interface{} `json:"data"`

}

var O *gorm.DB

var PO *gormadapter.Adapter

var Enforcer *casbin.Enforcer

func ping(c *gin.Context) {

	var response Response

	response.Code = 0

	response.Message = "success"

	response.Data = ""

	c.JSON(200, response)

	return

}

// 数据库连接及角色规则的初始化

func connect() {

	dsn := "root:xxx@tcp(rm-xxx.mysql.rds.aliyuncs.com:33016)/my_casbin?charset=utf8mb4&parseTime=True&loc=Local"

	var err error

	O, err = gorm.Open("mysql", dsn)

	if err != nil {

		fmt.Println("connect DB error")

		panic(err)

	}

	// 将数据库连接同步给插件, 插件用来操作数据库

	PO = gormadapter.NewAdapterByDB(O)

	// 这里也可以使用原生字符串方式

	Enforcer = casbin.NewEnforcer("./test/model.conf", PO)

	// 开启权限认证日志

	Enforcer.EnableLog(true)

	// 加载数据库中的策略

	err = Enforcer.LoadPolicy()

	if err != nil {

		fmt.Println("loadPolicy error")

		panic(err)

	}

	// 创建一个角色,并赋于权限

	// admin 这个角色可以用 GET 方式访问 /api/v2/ping

	res := Enforcer.AddPolicy("admin", "/api/v2/ping", "GET")

	if !res {

		fmt.Println("policy is exist")

	} else {

		fmt.Println("policy is not exist, adding")

	}

	// 将 test 用户加入一个角色中

	Enforcer.AddRoleForUser("test", "root")

	Enforcer.AddRoleForUser("tom", "admin")

	// 请看规则中如果用户名为 root 则不受限制

}

func main() {

	defer O.Close()

	connect()

	g := gin.Default()

	// 这里的接口没有使用权限认证中间件

	version1 := g.Group("/api/v1")

	{

		version1.GET("/ping", ping) // 这个是通用的接口

	}

	// 接口使用权限认证中间件

	version2 := g.Group("/api/v2", CasbinMiddleWare)

	{

		version2.GET("/ping", ping)

	}

	_ = g.Run(":8099")

}

// casbin middleware 权限认证中间件

func CasbinMiddleWare(c *gin.Context) {

	var userName string

	userName = c.GetHeader("userName")

	if userName == "" {

		fmt.Println("headers invalid")

		c.JSON(200, gin.H{

			"code":    http.StatusUnauthorized,

			"message": "Unauthorized",

			"data":    "",

		})

		c.Abort()

		return

	}

	// 请求的path

	p := c.Request.URL.Path

	// 请求的方法

	m := c.Request.Method

	// 这里认证

	res, err := Enforcer.EnforceSafe(userName, p, m)

	// 这个 HasPermissionForUser 跟上面的有什么区别

	// EnforceSafe 会验证角色的相关的权限

	// 而 HasPermissionForUser 只验证用户是否有权限

	//res = Enforcer.HasPermissionForUser(userName,p,m)

	if err != nil {

		fmt.Println("no permission ")

		fmt.Println(err)

		c.JSON(200, gin.H{

			"code":    401,

			"message": "Unauthorized",

			"data":    "",

		})

		c.Abort()

		return

	}

	if !res {

		fmt.Println("permission check failed")

		c.JSON(200, gin.H{

			"code":    401,

			"message": "Unauthorized",

			"data":    "",

		})

		c.Abort()

		return

	}

	c.Next()

}

  • 结果

    p 代表的是策略 admin 角色可以使用GET 访问 /api/v2/ping

    g 代表的是角色 test 用户在root 角色中

    tom 在admin 角色中

    所以在测试时请求头

    userName = root 有正常响应 (这里不会到数据库验证,策略最后一条)

    userName = tom 正常响应 (tom 有admin 角色 , 所以验证通过)

    userName = role_admin 正常响应 (参考这里:https://casbin.org/docs/zh-CN/rbac , 正常情况下用户名和角色名称不应该一样)

    userName = *** 都无法通过认证

RBAC API 官网

RBAC API 官网

gin框架中集成casbin-权限管理的更多相关文章

  1. YII框架中的srbac权限管理模块的安全与使用(版本是1.1.20)

    0x01 前言 srbac的原理: YII框架的srbac模块是一个专门管理权限的一个模块,那它是怎么管理权限的呢.我们知道YII框架的网页显示是由控制器实现的,控制器继承父类CController和 ...

  2. 在前后端分离的SpringBoot项目中集成Shiro权限框架

    参考[1].在前后端分离的SpringBoot项目中集成Shiro权限框架 参考[2]. Springboot + Vue + shiro 实现前后端分离.权限控制   以及跨域的问题也有涉及

  3. 细说shiro之五:在spring框架中集成shiro

    官网:https://shiro.apache.org/ 1. 下载在Maven项目中的依赖配置如下: <!-- shiro配置 --> <dependency> <gr ...

  4. (补漏)Springboot2.0 集成shiro权限管理

    原文Springboot2.0 集成shiro权限管理 一.关于停止使用外键. 原本集成shiro建立用户.角色.权限表的时候使用了外键,系统自动创建其中两个关联表,用@JoinTable.看起来省事 ...

  5. (十三)整合 SpringSecurity 框架,实现用户权限管理

    整合 SpringSecurity 框架,实现用户权限管理 1.Security简介 1.1 基础概念 1.2 核心API解读 2.SpringBoot整合SpringSecurity 2.1 流程描 ...

  6. (十二)整合 Shiro 框架,实现用户权限管理

    整合 Shiro 框架,实现用户权限管理 1.Shiro简介 1.1 基础概念 1.2 核心角色 1.3 核心理念 2.SpringBoot整合Shiro 2.1 核心依赖 2.2 Shiro核心配置 ...

  7. gin框架中的路由

    基本路由 gin框架中采用的路由库是基于httrouter做的 地址为:https://github.com/julienschmidt/httprouter httprouter路由库 点击查看代码 ...

  8. drf框架中认证与权限工作原理及设置

    0909自我总结 drf框架中认证与权限工作原理及设置 一.概述 1.认证 工作原理 返回None => 游客 返回user,auth => 登录用户 抛出异常 => 非法用户 前台 ...

  9. springboot框架中集成thymeleaf引擎,使用form表单提交数据,debug结果后台获取不到数据

    springboot框架中集成thymeleaf引擎,使用form表单提交数据,debug结果后台获取不到数据 表单html: <form class="form-horizontal ...

随机推荐

  1. 从go程序中发消息给winform(C#)

    背景: 1.服务端语言为GO,客户端语言为:C#(WinForm): 2.在客户端操执行长耗时任务时,服务器应该将后台日志或定时将心跳信息及时传递给客户端,这样方便用户查看服务器执行情况(重要). 一 ...

  2. NLTK 3.2.5 documentation Installing NLTK

    Installing NLTK NLTK requires Python versions 2.7, 3.4, or 3.5 Mac/Unix Install NLTK: run sudo pip i ...

  3. 【LeetCode】686. Repeated String Match 解题报告(Python & C++)

    作者: 负雪明烛 id: fuxuemingzhu 个人博客: http://fuxuemingzhu.cn/ 目录 题目描述 题目大意 解题方法 日期 题目地址:https://leetcode.c ...

  4. Web 网站进化

    01-初始阶段   应用程序.数据库.文件等所有资源都在一台服务器上 02-应用服务与数据服务分离 应用服务器 要处理大量的业务逻辑,所以需要更好更快更强大的 CPU 数据库服务器 需要快速的进行磁盘 ...

  5. 【C++】关于new分配空间

    1如果不使用new,则在函数结束时内存被回收,指针变成野指针 #include <iostream> using namespace std; struct Node { int val; ...

  6. 第二十六个知识点:描述NAF标量乘法算法

    第二十六个知识点:描述NAF标量乘法算法 NAF标量乘法算法是标量乘法算法的一种增强,该算法使用了非邻接形式(Non-Adjacent Form)表达,减少了算法的期望运行时间.下面是具体细节: 让\ ...

  7. electron串口通信使用serialport安装报错

    1.报错信息没有安装python环境 1 gyp ERR! find Python 2 gyp ERR! find Python Python is not set from command line ...

  8. [云原生]Kubernetes - 集群搭建(第2章)

    目录 一.前置知识点 二.kubeadm部署方式介绍 三.安装要求 四.最终目标 五.准备环境 六.环境初始化 6.1 设置系统主机名以及Hosts文件的相互解析 6.2 安装依赖文件(所有节点) 6 ...

  9. FP增长算法

    Apriori原理:如果某个项集是频繁的,那么它的所有子集都是频繁的. Apriori算法: 1 输入支持度阈值t和数据集 2 生成含有K个元素的项集的候选集(K初始为1) 3 对候选集每个项集,判断 ...

  10. Java初学者作业——分别计算两个整数加、减、乘、除的结果并显示,要求除法保留两位小数。

    返回本章节 返回作业目录 需求说明: 分别计算两个整数加.减.乘.除的结果并显示,要求除法保留两位小数. 实现思路: 接收用户控制台输入的两个整数. 实现两个整数的加.减.乘.除的运算并输出结果. 除 ...