概念

权限管理几乎是每个系统或者服务都会直接或者间接涉及的部分. 权限管理保障了资源(大部分时候就是数据)的安全, 权限管理一般都是和业务强关联, 每当有新的业务或者业务变化时, 不能将精力完全放在业务实现上, 权限的调整往往耗费大量的精力. 其实, 权限的本质没有那么复杂, 只是对访问的控制而已, 有一套完善的访问控制接口, 再加上简单的权限模型. 权限模型之所以能够简单, 就是因为权限管理本身并不复杂, 只是在和具体业务结合时, 出现了各种各样的访问控制场景, 才显得复杂.

PERM 模型

PERM(Policy, Effect, Request, Matchers)模型很简单, 但是反映了权限的本质 – 访问控制

  1. Policy: 定义权限的规则
  2. Effect: 定义组合了多个 Policy 之后的结果, allow/deny
  3. Request: 访问请求, 也就是谁想操作什么
  4. Matcher: 判断 Request 是否满足 Policy

casbin的作用

  1. 以经典{subject, object, action}形式或您定义的自定义形式实施策略,同时支持允许和拒绝授权。
  2. 处理访问控制模型及其策略的存储。
  3. 管理角色用户映射和角色角色映射(RBAC中的角色层次结构)。
  4. 支持内置的超级用户,例如root或administrator。超级用户可以在没有显式权限的情况下执行任何操作。
  5. 多个内置运算符支持规则匹配。例如,keyMatch可以将资源键映射/foo/bar到模式/foo*。

casbin不执行的操作

  1. 身份验证(又名验证username以及password用户登录时)
  2. 管理用户或角色列表。我相信项目本身管理这些实体会更方便。用户通常具有其密码,而Casbin并非设计为密码容器。但是,Casbin存储RBAC方案的用户角色映射。

在使用Casbin 控制后台接口时使用以下模型

[request_definition]

    r = sub, obj, act

# 请求的规则

# r 是规则的名称,sub 为请求的实体,obj 为资源的名称, act 为请求的实际操作动作

[policy_definition]

    p = sub, obj, act

# 策略的规则

# 同请求

[role_definition]

    g = _, _

# 角色的定义

# g 角色的名称,第一个位置为用户,第二个位置为角色,第三个位置为域(在多租户场景下使用)

[policy_effect]

    e = some(where (p.eft == allow))

# 任意一条 policy rule 满足, 则最终结果为 allow

[matchers]

    m = g(r.sub, p.sub) == true \

     && keyMatch2(r.obj, p.obj) == true \

      && regexMatch(r.act, p.act) == true \

      || r.sub == "root"

# [matchers] 也可以这样写

# m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act || r.sub == "root"

# 前三个用来匹配上面定义的请求的规则, 最后一个或条件为:如果实体是root 直接通过, 不验证权限

RBAC模型的示例策略如下:

p, cityAdmin, /city, GET

p, cityAdmin, /city, POST

p, countyAdmin, /county, GET

g, mayanan, superAdmin

在理解了Casbin 的工作原理后,实际写代码测试一下

需要使用的外部包

go get -u github.com/casbin/casbin  Casbin 官方库

go get -u github.com/casbin/gorm-adapter  Casbin 插件,用来将规则和策略保存到数据库中

go get -u github.com/gin-gonic/gin  Go Web 框架

go get -u github.com/go-sql-driver/mysql  Go MySQL 驱动

方案一

参考链接

点击查看代码 
package main

import (

	"fmt"

	"github.com/casbin/casbin"

	"github.com/casbin/gorm-adapter"

	"github.com/gin-gonic/gin"

	_ "github.com/go-sql-driver/mysql"

	"net/http"

)

func main() {

	// 要使用自己定义的数据库rbac_db,最后的true很重要.默认为false,使用缺省的数据库名casbin,不存在则创建

	a := gormadapter.NewAdapter("mysql", "root:pwdZ@tcp(rm-xxxx.mysql.rds.aliyuncs.com:33016)/my_casbin?charset=utf8mb4&parseTime=True&loc=Local", true)

	e := casbin.NewEnforcer("./test/model.conf", a)

	// 从DB加载策略

	e.LoadPolicy()

	//获取router路由对象

	r := gin.New()

	r.POST("/api/v1/add", func(c *gin.Context) {

		fmt.Println("增加Policy")

		// AddPolicy 向当前策略添加授权规则。如果规则已经存在,函数返回false,不会添加规则。否则,该函数通过添加新规则返回 true

		if ok := e.AddPolicy("admin", "/api/v1/hello", "GET"); !ok {

			fmt.Println("Policy已经存在")

		} else {

			fmt.Println("增加成功")

		}

	})

	//删除policy

	r.DELETE("/api/v1/delete", func(c *gin.Context) {

		fmt.Println("删除Policy")

		// RemovePolicy 从当前策略中删除授权规则。

		if ok := e.RemovePolicy("admin", "/api/v1/hello", "GET"); !ok {

			fmt.Println("Policy不存在")

		} else {

			fmt.Println("删除成功")

		}

	})

	//获取policy

	r.GET("/api/v1/get", func(c *gin.Context) {

		fmt.Println("查看policy")

		// GetPolicy 获取策略中的所有授权规则。

		list := e.GetPolicy()

		for _, vlist := range list {

			for _, v := range vlist {

				fmt.Printf("value: %s, ", v)

			}

		}

	})

	//使用自定义拦截器中间件

	r.Use(Authorize(e))

	//创建请求

	r.GET("/api/v1/hello", func(c *gin.Context) {

		fmt.Println("Hello 接收到GET请求..")

	})

	r.Run(":9000") //参数为空 默认监听8080端口

}

//拦截器

func Authorize(e *casbin.Enforcer) gin.HandlerFunc {

	return func(c *gin.Context) {

		//获取请求的URI

		obj := c.Request.URL.RequestURI()

		//获取请求方法

		act := c.Request.Method

		//获取用户的角色

		sub := "admin"

		//判断策略中是否存在

		if ok := e.Enforce(sub, obj, act); ok {

			fmt.Println("恭喜您,权限验证通过")

			c.Next()

		} else {

			fmt.Println("很遗憾,权限验证没有通过")

			c.Abort()

			c.String(http.StatusUnauthorized, "无权访问")

		}

	}

}

方案二:

参考链接

点击查看代码 
package main

import (

	"fmt"

	"github.com/casbin/casbin"

	"github.com/casbin/gorm-adapter"

	"github.com/gin-gonic/gin"

	_ "github.com/go-sql-driver/mysql"

	"github.com/jinzhu/gorm"

	"net/http"

	//"gorm.io/gorm"

)

// 统一响应结构体

type Response struct {

	Code    int         `json:"code"`

	Message string      `json:"message"`

	Data    interface{} `json:"data"`

}

var O *gorm.DB

var PO *gormadapter.Adapter

var Enforcer *casbin.Enforcer

func ping(c *gin.Context) {

	var response Response

	response.Code = 0

	response.Message = "success"

	response.Data = ""

	c.JSON(200, response)

	return

}

// 数据库连接及角色规则的初始化

func connect() {

	dsn := "root:xxx@tcp(rm-xxx.mysql.rds.aliyuncs.com:33016)/my_casbin?charset=utf8mb4&parseTime=True&loc=Local"

	var err error

	O, err = gorm.Open("mysql", dsn)

	if err != nil {

		fmt.Println("connect DB error")

		panic(err)

	}

	// 将数据库连接同步给插件, 插件用来操作数据库

	PO = gormadapter.NewAdapterByDB(O)

	// 这里也可以使用原生字符串方式

	Enforcer = casbin.NewEnforcer("./test/model.conf", PO)

	// 开启权限认证日志

	Enforcer.EnableLog(true)

	// 加载数据库中的策略

	err = Enforcer.LoadPolicy()

	if err != nil {

		fmt.Println("loadPolicy error")

		panic(err)

	}

	// 创建一个角色,并赋于权限

	// admin 这个角色可以用 GET 方式访问 /api/v2/ping

	res := Enforcer.AddPolicy("admin", "/api/v2/ping", "GET")

	if !res {

		fmt.Println("policy is exist")

	} else {

		fmt.Println("policy is not exist, adding")

	}

	// 将 test 用户加入一个角色中

	Enforcer.AddRoleForUser("test", "root")

	Enforcer.AddRoleForUser("tom", "admin")

	// 请看规则中如果用户名为 root 则不受限制

}

func main() {

	defer O.Close()

	connect()

	g := gin.Default()

	// 这里的接口没有使用权限认证中间件

	version1 := g.Group("/api/v1")

	{

		version1.GET("/ping", ping) // 这个是通用的接口

	}

	// 接口使用权限认证中间件

	version2 := g.Group("/api/v2", CasbinMiddleWare)

	{

		version2.GET("/ping", ping)

	}

	_ = g.Run(":8099")

}

// casbin middleware 权限认证中间件

func CasbinMiddleWare(c *gin.Context) {

	var userName string

	userName = c.GetHeader("userName")

	if userName == "" {

		fmt.Println("headers invalid")

		c.JSON(200, gin.H{

			"code":    http.StatusUnauthorized,

			"message": "Unauthorized",

			"data":    "",

		})

		c.Abort()

		return

	}

	// 请求的path

	p := c.Request.URL.Path

	// 请求的方法

	m := c.Request.Method

	// 这里认证

	res, err := Enforcer.EnforceSafe(userName, p, m)

	// 这个 HasPermissionForUser 跟上面的有什么区别

	// EnforceSafe 会验证角色的相关的权限

	// 而 HasPermissionForUser 只验证用户是否有权限

	//res = Enforcer.HasPermissionForUser(userName,p,m)

	if err != nil {

		fmt.Println("no permission ")

		fmt.Println(err)

		c.JSON(200, gin.H{

			"code":    401,

			"message": "Unauthorized",

			"data":    "",

		})

		c.Abort()

		return

	}

	if !res {

		fmt.Println("permission check failed")

		c.JSON(200, gin.H{

			"code":    401,

			"message": "Unauthorized",

			"data":    "",

		})

		c.Abort()

		return

	}

	c.Next()

}

  • 结果

    p 代表的是策略 admin 角色可以使用GET 访问 /api/v2/ping

    g 代表的是角色 test 用户在root 角色中

    tom 在admin 角色中

    所以在测试时请求头

    userName = root 有正常响应 (这里不会到数据库验证,策略最后一条)

    userName = tom 正常响应 (tom 有admin 角色 , 所以验证通过)

    userName = role_admin 正常响应 (参考这里:https://casbin.org/docs/zh-CN/rbac , 正常情况下用户名和角色名称不应该一样)

    userName = *** 都无法通过认证

RBAC API 官网

RBAC API 官网

gin框架中集成casbin-权限管理的更多相关文章

  1. YII框架中的srbac权限管理模块的安全与使用(版本是1.1.20)

    0x01 前言 srbac的原理: YII框架的srbac模块是一个专门管理权限的一个模块,那它是怎么管理权限的呢.我们知道YII框架的网页显示是由控制器实现的,控制器继承父类CController和 ...

  2. 在前后端分离的SpringBoot项目中集成Shiro权限框架

    参考[1].在前后端分离的SpringBoot项目中集成Shiro权限框架 参考[2]. Springboot + Vue + shiro 实现前后端分离.权限控制   以及跨域的问题也有涉及

  3. 细说shiro之五:在spring框架中集成shiro

    官网:https://shiro.apache.org/ 1. 下载在Maven项目中的依赖配置如下: <!-- shiro配置 --> <dependency> <gr ...

  4. (补漏)Springboot2.0 集成shiro权限管理

    原文Springboot2.0 集成shiro权限管理 一.关于停止使用外键. 原本集成shiro建立用户.角色.权限表的时候使用了外键,系统自动创建其中两个关联表,用@JoinTable.看起来省事 ...

  5. (十三)整合 SpringSecurity 框架,实现用户权限管理

    整合 SpringSecurity 框架,实现用户权限管理 1.Security简介 1.1 基础概念 1.2 核心API解读 2.SpringBoot整合SpringSecurity 2.1 流程描 ...

  6. (十二)整合 Shiro 框架,实现用户权限管理

    整合 Shiro 框架,实现用户权限管理 1.Shiro简介 1.1 基础概念 1.2 核心角色 1.3 核心理念 2.SpringBoot整合Shiro 2.1 核心依赖 2.2 Shiro核心配置 ...

  7. gin框架中的路由

    基本路由 gin框架中采用的路由库是基于httrouter做的 地址为:https://github.com/julienschmidt/httprouter httprouter路由库 点击查看代码 ...

  8. drf框架中认证与权限工作原理及设置

    0909自我总结 drf框架中认证与权限工作原理及设置 一.概述 1.认证 工作原理 返回None => 游客 返回user,auth => 登录用户 抛出异常 => 非法用户 前台 ...

  9. springboot框架中集成thymeleaf引擎,使用form表单提交数据,debug结果后台获取不到数据

    springboot框架中集成thymeleaf引擎,使用form表单提交数据,debug结果后台获取不到数据 表单html: <form class="form-horizontal ...

随机推荐

  1. c/c++一些常用的内置宏

    关于 本文演示环境: win10 + VS2017 Note 市面上的编译器五花八门,但是通常都支持: __DATE__,__FILE__,__LINE__ 和 __TIME__ 这个4个宏 VS20 ...

  2. cmake之引入外部项目(引用其他项目)、FetchContent管理子模块(fetchcontent用法)

    本文CMAKE版本为3.18 演示环境: Windows+CMake+VS2017 源码下载说明 演示代码是后来传上去的,而且做了些修改,将spdlog_demo由exe改为了lib,但是,spdlo ...

  3. 【剑指Offer】从上往下打印二叉树 解题报告(Python)

    [剑指Offer]从上往下打印二叉树 解题报告(Python) 标签(空格分隔): 剑指Offer 题目地址:https://www.nowcoder.com/ta/coding-interviews ...

  4. Pikachu靶场SSRF学习

    下载Pikachu靶场:https://github.com/zhuifengshaonianhanlu/pikachu Windows用phpstudy也行,记得要改config.inc文件 打开S ...

  5. spring事务失效的12种场景

    一 事务不生效 1.访问权限问题 java的访问权限主要有四种:private<default<protected<public. 把有某些事务方法,定义了错误的访问权限,就会导致事 ...

  6. Defending Adversarial Attacks by Correcting logits

    目录 概 主要内容 实验 Li Y., Xie L., Zhang Y., Zhang R., Wang Y., Tian Q., Defending Adversarial Attacks by C ...

  7. 生成对抗网络GAN与DCGAN的理解

    作者在进行GAN学习中遇到的问题汇总到下方,并进行解读讲解,下面提到的题目是李宏毅老师机器学习课程的作业6(GAN) 一.GAN 网络上有关GAN和DCGAN的讲解已经很多,在这里不再加以赘述,放几个 ...

  8. http协议的状态码400,401,403,404,500,502,503,301,302等常见网页错误代码

    1xx(临时响应)表示临时响应并需要请求者继续执行操作的状态码. 100(继续) 请求者应当继续提出请求.服务器返回此代码表示已收到请求的第一部分,正在等待其余部分. 101(切换协议) 请求者已要求 ...

  9. 涂鸦智能 dubbo-go 亿级流量的实践与探索

    涂鸦智能 dubbo-go 亿级流量的实践与探索 dubbo 是一个基于 Java 开发的高性能的轻量级 RPC 框架,dubbo 提供了丰富的服务治理功能和优秀的扩展能力.而 dubbo-go 在 ...

  10. Drools集成SpringBootStarter

    1.说明 基于fast-drools-spring-boot-starter, 能够方便的将规则引擎Drools集成到Spring Boot, 基于前面介绍过的文章Drools集成SpringBoot ...