GO 权限管理之 Casbin

本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
访问控制,不限时长
简介: 我们来回顾一下上次分享的 GO中 gjson 库的应用和分享,它主要是提供了一种非常快速且简单的方式从json文档中获取相应值

GO 权限管理之 Casbin

我们来回顾一下上次分享的 GO中 gjson 库的应用和分享,它主要是提供了一种非常快速简单的方式从json文档中获取相应值

  • 分享了 jsongjson分别代表什么
  • gjson 的简单使用
  • gjson 校验,获取值
  • gjsonjson 行
  • gjson的键路径匹配规则
  • gjson的修饰符和自定义修饰符

要是对 gjson还有点兴趣的话,可以查看文章 GO中gjson的应用和分享


今天咱们来分享一下 GO里面的权限管理,Casbin

权限管理是什么?

一般指根据系统设置的安全规则或者安全策略

用户可以访问而且只能访问自己被授权的资源,不多不少刚刚好

权限管理几乎出现在任何系统里面

我们可能会把 用户身份认证密码加密系统管理权限管理弄混淆,那么他们具体的侧重点是什么呢?

  • 用户身份认证

不属于权限管理范畴

用户身份认证指的是通过某种凭证来证明自己的身份,例如账号密码,指纹,人脸识别等等

  • 系统管理

是系统中的一个模块,该模块一般还含有权限管理子模块 , 该模块相当于给权限管理模块提供了一些数据

  • 密码加密

也是不属于权限管理范畴 , 他只是用户身份认证领域的一个部分


Casbin 是个啥?

是 GO 项目的功能强大且高效的开源访问控制库,casbin支持常用的多种访问控制模型,例如:

  • RBAC
  • ABAC
  • ACL

使用casbin来做权限管理有一个比较好的地方是,casbin是支持多种语言的,就像protobuf一样也是支持多种语言

咱们来看看 Casbin 有啥特性

  • 实施策略是这样子的 {subject, object, action}

我们也可以自定义,同时他支持允许授权和拒绝授权

  • 他可以处理访问控制模型以及其存储对应的策略
  • RBAC中的角色层次结构 中,他可以管理角色用户映射和角色角色映射
  • 他支持内置的超级用户

rootadministrator

  • 支持多个内置运算符规则匹配

例如 hello/world ,就可以将其映射到 hello*模式

  • 不支持身份验证
  • 不支持管理用户或角色列表

咱们看一下 Casbin 的基本模型

Casbin 库中,他是基于PERM元模型将访问控制模型抽象为CONF文件,有如下4个部分

  • 策略
  • 效果
  • 请求
  • 匹配器

一起来了解一个最简单的模型,ACLCONF模型

#请求定义
[request_definition]
r = sub, obj, act
#策略定义
[policy_definition]
p = sub, obj, act
#角色定义
[role_definition]
g = _, _
[policy_effect]
e = some(where (p.eft == allow))
[matchers]
m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act

例如一个ACL模型的示例策略

p, xiaomt, data1, read
p, xiaomt, data2, write

咱们来写一个DEMO

  • main.go 文件写gin 对应的接口以及 casbin 的使用
  • rbac_models.conf  RBAC CONF文件

image.png

咱们写一个路由,里面添加一个拦截器,再写一个接口/api/v1/hello,使用GET方法验证

package main
import (
   "fmt"
   "log"
   "github.com/casbin/casbin"
   xd "github.com/casbin/xorm-adapter"
   "github.com/gin-gonic/gin"
   _ "github.com/go-sql-driver/mysql"
)
// myAuth 拦截器
func myAuth(e *casbin.Enforcer) gin.HandlerFunc {
   return func(c *gin.Context) {
      obj := c.Request.URL.RequestURI()
      // 获取方法
      act := c.Request.Method
      sub := "root"
      // 判断策略是否已经存在了
      if ok := e.Enforce(sub, obj, act); ok {
         log.Println("Check successfully")
         c.Next()
      } else {
         log.Println("sorry , Check failed")
         c.Abort()
      }
   }
}
func main() {
   // 使用自己定义rbac_db
   // 最后的一个参数咱们写true ,否则默认为false,使用缺省的数据库名casbin,不存在则创建
   a := xd.NewAdapter("mysql", "root:123456@tcp(127.0.0.1:3306)/mycasbin?charset=utf8", true)
   e := casbin.NewEnforcer("./rbac_models.conf", a)
   //从DB中 load 策略
   e.LoadPolicy()
   //new 一个路由
   r := gin.New()
   r.POST("/api/v1/add", func(c *gin.Context) {
      log.Println("add a policy")
      if ok := e.AddPolicy("root", "/api/v1/hello", "GET"); !ok {
         log.Println("The strategy already exists")
      } else {
         log.Println("add successfully ...")
      }
   })
   //使用自定义拦截器中间件,每一个接口的访问,都会通过这个拦截器
   r.Use(myAuth(e))
   //创建请求
   r.GET("/api/v1/hello", func(c *gin.Context) {
      fmt.Println("hello wolrd")
   })
   // 监听 127。0.0.1:8888
   r.Run(":8888")
}

对于上述 xd.NewAdapter 读取数据的操作,咱们可以看看具体实现


具体源码在 "github.com/casbin/xorm-adapter" 中的 adapter.go

// NewAdapter is the constructor for Adapter.
// dbSpecified is an optional bool parameter. The default value is false.
// It's up to whether you have specified an existing DB in dataSourceName.
// If dbSpecified == true, you need to make sure the DB in dataSourceName exists.
// If dbSpecified == false, the adapter will automatically create a DB named "casbin".
func NewAdapter(driverName string, dataSourceName string, dbSpecified ...bool) *Adapter {
   a := &Adapter{}
   a.driverName = driverName
   a.dataSourceName = dataSourceName
   if len(dbSpecified) == 0 {
      a.dbSpecified = false
   } else if len(dbSpecified) == 1 {
      a.dbSpecified = dbSpecified[0]
   } else {
      panic(errors.New("invalid parameter: dbSpecified"))
   }
   // Open the DB, create it if not existed.
   a.open()
   // Call the destructor when the object is released.
   runtime.SetFinalizer(a, finalizer)
   return a
}

再来看看casbin.NewEnforcer

源码文件在 "github.com/casbin/casbin"enforcer.go

NewEnforcer 通过文件或 DB 创建一个 enforcer , 如下是官方的案例写法,注意如下案例

// e := casbin.NewEnforcer("path/to/basic_model.conf", "path/to/basic_policy.csv")
// MySQL DB:
// a := mysqladapter.NewDBAdapter("mysql", "mysql_username:mysql_password@tcp(127.0.0.1:3306)/")
// e := casbin.NewEnforcer("path/to/basic_model.conf", a)
func NewEnforcer(params ...interface{}) *Enforcer {
   e := &Enforcer{}
   parsedParamLen := 0
   // 判断参数个数
   if len(params) >= 1 {
      enableLog, ok := params[len(params)-1].(bool)
      if ok {
         e.EnableLog(enableLog)
         parsedParamLen++
      }
   }
   // 省略 部分代码
   return e
}

上述代码,大家感兴趣的话,可以将代码贴到自己的环境中

使用类似postman工具来访问接口,查看效果哦,需要配置好mysql数据库


对于上述的 gin  和拦截器 若感兴趣的话, 可以查看文章

总结

  • 分享了权限管理是什么
  • Casbin 是什么
  • Casbin 的特性
  • Casbin 的应用案例

欢迎点赞,关注,收藏

朋友们,你的支持和鼓励,是我坚持分享,提高质量的动力

image.png

好了,本次就到这里

技术是开放的,我们的心态,更应是开放的。拥抱变化,向阳而生,努力向前行。

我是阿兵云原生,欢迎点赞关注收藏,下次见~


相关文章
|
JSON Go API
GO 权限管理之 Casbin
GO 权限管理之 Casbin
197 0
|
3月前
|
缓存 监控 Kubernetes
go-zero解读与最佳实践(上)
go-zero解读与最佳实践(上)
|
3月前
|
算法 搜索推荐 Unix
快速指南: Go 1.19功能
快速指南: Go 1.19功能
|
6月前
|
安全 Go API
【Go 语言专栏】Go 语言的模块版本控制与管理
【4月更文挑战第30天】Go 语言模块版本控制始于 1.11 版本,提供了一种替代 GOPATH 的更灵活的依赖管理方式。语义化版本号(主、次、修订版本号)用于标识模块变化和兼容性。开发中可采取固定、范围或最新版本策略。`go mod`工具用于管理模块,升级时注意兼容性、测试和文档更新。实践案例展示如何有效控制与管理模块版本,确保项目稳定、兼容和可维护。随着 Go 语言的发展,模块版本管理将持续优化。
68 0
|
11月前
|
存储 中间件 关系型数据库
go-casbin
go-casbin
|
存储 API Go
Go_gin权限验证
Go_gin权限验证
152 0
Go_gin权限验证
|
中间件 程序员 Go
你用Go写过中间件吗?带你用Gin实现【用户角色权限管理中间件】
管理后台有超管权限,超管拥有所有权限;普通管理员可以设置角色,角色单选;角色可以赋予多个权限,权限多选;这样我们就实现了对普通管理员的角色和权限的灵活管理
353 6
你用Go写过中间件吗?带你用Gin实现【用户角色权限管理中间件】
|
存储 Go
在 Go 中如何使用 Viper 来管理配置 2
在 Go 中如何使用 Viper 来管理配置
234 0
|
存储 JSON 监控
在 Go 中如何使用 Viper 来管理配置 1
在 Go 中如何使用 Viper 来管理配置
394 0
|
存储 关系型数据库 MySQL
gin框架学习-Casbin进阶之策略管理API使用方法
它有两个配置文件,model.conf和policy.csv。 其中,model.conf存储了访问模型,policy.csv存储了特定的用户权限配置。 Casbin的使用非常精炼。 基本上,我们只需要一个主要结构:enforcer。 当构建这个结构时,model.conf和policy.csv将被加载。
329 0
gin框架学习-Casbin进阶之策略管理API使用方法
下一篇
无影云桌面