casbin基于RBAC的权限管理案例

在RBAC模型中新定义了角色和继承关系,用户可以通过角色区分不同的权限,继承不同的角色时用户有多个权限。

[role_definition]
g = _, _
g2 = _, _

g 是一个 RBAC系统, g2 是另一个 RBAC 系统。 _, _表示角色继承关系的前项和后项,即前项继承后项角色的权限。

在策略存储的数据为:

p, data2_admin, data2, read
g, alice, data2_admin

这意味着 alice 是角色 data2_admin的一个成员。 alice 在这里可以是用户、资源或角色。 Cabin 只是将其识别为一个字符串。

casbin只验证字符串的准确性,因此是否存在这个角色需要开发者验证,cabin不能循环继承会发生死锁。

用户权限和角色信息都存储在策略表中,如策略数据一样:p,_ , _ , _和g , _ , _ 。

casbin基于RBAC的权限管理案例_第1张图片
rbac API提供了若干方法用户操作用户权限和角色:

  • 添加用户
Enfocer.AddPolicy("bob", "/v1/home", "read")
  • 添加角色
Enfocer.AddRoleForUser("bob", "user")
  • 获取用户角色
Enfocer.GetRolesForUser("bob")
  • 获取角色用户
Enfocer.GetUsersForRole("user")
  • 判断用户是否存在该角色
Enfocer.HasRoleForUser("bob", "user")
  • 添加多个角色
Enfocer.AddRolesForUser("alice", []string{"user1", "user2", "user3"})
  • 删除角色
Enfocer.DeleteRoleForUser("alice", "user3")

更多移步https://casbin.org/zh/docs/rbac-api

rbac模型既可以通过用户名来进行权限控制,也可通过角色进行权限控制。例如在官方的编辑器中:

casbin基于RBAC的权限管理案例_第2张图片
Pollic中就同时使用用户名和角色来控制权限。一般情况是用户拥有角色,角色控制权限。

那么在添加用户时,第一个参数就变成角色

Enfocer.AddPolicy("user", "/v1/home", "read")

那么验证逻辑如下:

import (
	"fmt"
	"github.com/casbin/casbin/v2"
	xormadapter "github.com/casbin/xorm-adapter/v2"
	_ "github.com/go-sql-driver/mysql"
	"log"
	"xorm.io/xorm"
)

var Enfocer *casbin.Enforcer

var DB *xorm.Engine

func init() {
	//数据库引擎配置
	engine, err := xorm.NewEngine("mysql", "root:root@/test?charset=utf8")
	if err != nil {
		log.Printf("数据库驱动错误:%v", err)
		return
	}
	DB = engine
	//casbin适配器配置
	a, err := xormadapter.NewAdapter("mysql", "root:root@tcp(127.0.0.1:3306)/test?charset=utf8", true)
	if err != nil {
		log.Printf("连接数据库错误:%v", err)
		return
	}
	e, err := casbin.NewEnforcer("rbac/model.conf", a)
	if err != nil {
		log.Printf("初始化casbin错误:%v", err)
		return
	}

	Enfocer = e
}


//根据用户名获取角色信息
roles, err := Enfocer.GetRolesForUser("bob")
if err != nil {
	log.Printf("系统错误:%v", err)
}
//通过请求获取url地址和其他验证参数
url := "/v1/home"
param := "read"

//casbin规则匹配
for _, item := range roles {
	flag, err := Enfocer.Enforce(item, url, param)
	if err != nil {
		log.Printf("系统错误:%v", err)
		return
	}
	if flag == false {
		continue
	} else {
		fmt.Println("验证通过!")
		return

	}
}
fmt.Println("无权限访问!")

你可能感兴趣的:(#,中间件,golang,casbin)