简介

权限管理在几乎每个系统中都是必备的模块。如果项目开发每次都要实现一次权限管理，无疑会浪费开发时间，增加开发成本。因此，casbin库出现了。casbin是一个强大、高效的访问控制库。支持常用的多种访问控制模型，如ACL/RBAC/ABAC等。可以实现灵活的访问权限控制。同时，casbin支持多种编程语言，Go/Java/Node/PHP/Python/.NET/Rust.

安装

go get github.com/casbin/casbin/v2

权限实际上就是控制谁能对什么资源进行什么操作。casbin将访问控制模型抽象到一个基于 PERM（Policy，Effect，Request，Matchers） 元模型的配置文件（模型文件）中。因此切换或更新授权机制只需要简单地修改配置文件。

• policy是策略或者说是规则的定义。它定义了具体的规则。

• request是对访问请求的抽象，它与e.Enforce()函数的参数是一一对应的

• matcher匹配器会将请求与定义的每个policy一一匹配，生成多个匹配结果。

• effect根据对请求运用匹配器得出的所有结果进行汇总，来决定该请求是允许还是拒绝。

模型文件 (model.conf)

[request_definition]
r = sub, obj, act

[policy_definition]
p = sub, obj, act

[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

[policy_effect]
e = some(where (p.eft == allow))

上面模型文件规定了权限由sub,obj,act三要素组成，只有在策略列表中有和它完全相同的策略时，该请求才能通过。匹配器的结果可以通过p.eft获取，some(where (p.eft == allow))表示只要有一条策略允许即可。

策略文件 (policy.csv)

p, person1, data1, read
p, person2, data2, write

上面的策略文件规定了person1对data1有read权限,而person2对data2有write权限

package main

import (
 "fmt"
 "log"

 "github.com/casbin/casbin/v2"
)

func check(e *casbin.Enforcer, sub, obj, act string) {
 ok, _ := e.Enforce(sub, obj, act)
 if ok {
   fmt.Printf("%s CAN %s %s\n", sub, act, obj)
 } else {
   fmt.Printf("%s CANNOT %s %s\n", sub, act, obj)
 }
}

func main() {
 e, err := casbin.NewEnforcer("./model.conf", "./policy.csv")
 if err != nil {
   log.Fatalf("NewEnforecer failed:%v\n", err)
 }

 check(e, "person1", "data1", "read")
 check(e, "person2", "data2", "write")
 check(e, "person1", "data1", "write")
 check(e, "person2", "data2", "read")
}

运行结果

person1 CAN read data1
person2 CAN write data2
person1 CANNOT write data1
person1 CANNOT read data2

RBAC

RBAC（role-based-access-control）模型通过引入角色（role）这个中间层来解决这个问题。每个用户都属于一个角色，例如开发者、管理员、运维等，每个角色都有其特定的权限，权限的增加和删除都通过角色来进行。这样新增一个用户时，我们只需要给他指派一个角色，他就能拥有该角色的所有权限。修改角色的权限时，属于这个角色的用户权限就会相应的修改。

在model中定义

[role_definition]
g = _, _

[matchers]
m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act

g _ , _表示前面的角色继承后面的角色,并拥有后面角色的权限

示例

p, admin, data, read
p, admin, data, write
g, person, admin

person拥有的权限,对data有write和read权限

ABAC

• RBAC模型对于实现比较规则的、相对静态的权限管理非常有用。

[request_definition]
r = sub, obj, act

[policy_definition]
p = sub, obj, act

[matchers]
m = r.sub.Hour >= 9 && r.sub.Hour < 18 || r.sub.Name == r.obj.Owner

[policy_effect]
e = some(where (p.eft == allow))

type Object struct {
  Name  string
  Owner string
}

type Subject struct {
  Name string
  Hour int
}

func check(e *casbin.Enforcer, sub Subject, obj Object, act string) {
  ok, _ := e.Enforce(sub, obj, act)
  if ok {
    fmt.Printf("%s CAN %s %s at %d:00\n", sub.Name, act, obj.Name, sub.Hour)
  } else {
    fmt.Printf("%s CANNOT %s %s at %d:00\n", sub.Name, act, obj.Name, sub.Hour)
  }
}

func main() {
  e, err := casbin.NewEnforcer("./model.conf", "./policy.csv")
  if err != nil {
    log.Fatalf("NewEnforecer failed:%v\n", err)
  }

  o := Object{"data", "dajun"}
  s1 := Subject{"dajun", 10}
  check(e, s1, o, "read")

  s2 := Subject{"lizi", 10}
  check(e, s2, o, "read")

  s3 := Subject{"dajun", 20}
  check(e, s3, o, "read")

  s4 := Subject{"lizi", 20}
  check(e, s4, o, "read")
}