详情 可以查看 我写的这个项目 https://github.com/hequan2017/go-admin
利用的库:
github.com/casbin/casbin
github.com/gin-gonic/gin
github.com/facebookgo/inject
casbin文档: https://casbin.org/zh-CN/
下面例子 未利用 casbin 的 adapter, 而是启动的时候 先初始化,
然后通过数据库里面的 对应关系 ,动态加载所有的 权限条目
然后通过中间件去判断,如果有更新,可以动态修改更新 权限条目.
rbac_model.conf
[request_definition]
r = sub, obj, act
[policy_definition]
p = sub, obj, act
[role_definition]
g = _, _
[policy_effect]
e = some(where (p.eft == allow))
[matchers]
m = g(r.sub, p.sub) == true \
&& keyMatch2(r.obj, p.obj) == true \
&& regexMatch(r.act, p.act) == true
b_auth.go
package bll
//gin-allin/models 为自己的项目 请忽略
import (
"gin-allin/models"
"github.com/casbin/casbin"
)
//models.Auth 为 User表 实际可以写成自己的USER 表
type Role struct {
Role *models.Auth `inject:""`
Enforcer *casbin.Enforcer `inject:""`
}
// LoadPolicy 加载角色权限策略,
func (a *Role) LoadPolicy(roleID string) error {
a.Enforcer.AddPolicy(roleID, "/api/v1/auth_info","GET")
return nil
}
b_common.go
package bll
//把 权限表 注入到 Common
type Common struct {
Role *Role `inject:""`
}
inject.go
package inject
import (
"gin-allin/bll"
"github.com/casbin/casbin"
"github.com/facebookgo/inject"
"os"
)
// Object 注入对象
type Object struct {
Common *bll.Common
Enforcer *casbin.Enforcer
}
// Init 初始化依赖注入
func Init() *Object {
g := new(inject.Graph)
// 注入casbin
dir, _ := os.Getwd()
path := dir + "\\src\\gin-allin\\conf\\rbac_model.conf"
enforcer := casbin.NewEnforcer(path, false)
_ = g.Provide(&inject.Object{Value: enforcer})
// 注入Common 也就是 Role
Common := new(bll.Common)
_ = g.Provide(&inject.Object{Value: Common})
if err := g.Populate(); err != nil {
panic("初始化依赖注入发生错误:" + err.Error())
}
// 返回 注入完的对象
return &Object{
Enforcer: enforcer,
Common :Common,
}
}
casb.go
package casb
import (
"gin-allin/inject"
"github.com/gin-gonic/gin"
"net/http"
)
// 权限判断
func CasbinMiddleware(obj *inject.Object) gin.HandlerFunc {
return func(c *gin.Context) {
// 判断 权限 是否为 true
if b, err := obj.Enforcer.EnforceSafe("hequan", c.Request.URL.Path, c.Request.Method); err != nil {
c.JSON(http.StatusUnauthorized, gin.H{
"code": "权限 判断错误",
"msg": "权限 判断错误",
"data": "权限 判断错误",
})
c.Abort()
return
} else if !b {
c.JSON(http.StatusUnauthorized, gin.H{
"code": "没有权限",
"msg": "没有权限",
"data": "没有权限",
})
c.Abort()
return
}
c.Next()
}
}
router.go
package routers
func InitRouter() *gin.Engine {
// 生成对象
obj := inject.Init()
err := loadCasbinPolicyData(obj)
if err != nil {
panic("加载casbin策略数据发生错误:" + err.Error())
}
apiv1.Use(casb.CasbinMiddleware(obj))
}
// 加载casbin策略数据 加载 hequan 的一个权限
func loadCasbinPolicyData(obj *inject.Object) error {
err := obj.Common.Role.LoadPolicy("hequan")
if err != nil {
fmt.Println(err)
return err
}
return nil
}
当 用户 hequan 去 访问 /api/v1/auth_info 时,会去判断是否有GET 权限,有就通过,没有就拒绝。
测试 可以把 用户名 写成其他的, 再重新启动,此时,中间件判断 不通过,就会返回 拒绝。
转载于:https://blog.51cto.com/hequan/2341145