我对casbin的理解
本文以iris框架作为示例,原生或其它框架基本是一样的。
根据官方文档,首先介绍一下几个重要部位。(安装方法跳过)
使用casbin有两个地方是需要配置的,一个是model,另一个是policy
我们做权限控制用得比较多的是RBAC(基于角色的权限控制)
看过官方文档的同学都知道,model的内容来源可以是.conf文件,也可以是在代码中编写;但是policy内容应该是动态的,可以随时更新的,把它放.csv文件里管理起来多不方便?稍安勿躁,后面会说说我的解决方法。
简单的测试
先看看别人怎么做的
package main
import (
"github.com/kataras/iris"
"github.com/casbin/casbin"
cm "github.com/iris-contrib/middleware/casbin"
)
var Enforcer = casbin.NewEnforcer("casbin_model.conf", "casbi_npolicy.csv")
func newApp() *iris.Application {
casbinMiddleware := cm.New(Enforcer)
app := iris.New()
app.WrapRouter(casbinMiddleware.Wrapper())
app.Get("/", hi)
app.Any("/dataset1/{p:path}", hi)
app.Post("/dataset1/resource1", hi)
app.Get("/dataset2/resource2", hi)
app.Post("/dataset2/folder1/{p:path}", hi)
app.Any("/dataset2/resource1", hi)
return app
}
func main() {
app := newApp()
app.Run(iris.Addr(":8080"))
}
func hi(ctx iris.Context) {
ctx.Writef("Hello %s", cm.Username(ctx.Request()))
}上面是iris文档上的一段示例代码,可能版本不一样了,我运行下面的代码会直接报错,原因是github.com/iris-contrib/middleware/casbin/casbin.go里面的一个方法:
func (c *Casbin) Check(r *http.Request) bool {
username := Username(r)
method := r.Method
path := r.URL.Path
b:=c.enforcer.Enforce(username, path, method)//这里c.enforcer.Enforce返回两个值,一个是bool,另一个是error,这里只定义了一个,所以报错了
return b
}还有一个问题是,这个中间件默认采用BasicAuth获取用户名的,如果你也是采用这种方法,那就大吉大利了,如果不是,还是自己动手取用户名吧
既然是一个简单的测试,那就简单粗暴的直接改写整个casbin.go文件
开始动手
/rbac_model.conf
//RBAC1
//请求定义
//sub 想要访问资源的用户
//obj 要访问的资源
//act 用户对资源执行的操作,act可以是read、write、print等等你想要自定义的操作
[request_definition]
r = sub, obj, act
//策略定义,也就是*.cvs文件 p 定义的格式
[policy_definition]
p = sub, obj, act
//组定义,也就是*.cvs文件 g 定义的格式。g是用户组或角色
[role_definition]
g = _, _
[policy_effect]
e = some(where (p.eft == allow))
[matchers]
m = g(r.sub, p.sub) && keyMatch(r.obj, p.obj) && (r.act == p.act || p.act == "*")/rbac_policy.csv (注释删掉)
p,abc123,/user,GET //用户abc123对/user有GET权限,下面同理
p,abc123,/user,POST
p,admin,/test,* //角色或用户组admin对/test有所有权限
g,super_admin,admin //用户super_admin属于admin组或角色复制整个casbin.go文件到自己的项目下,我把它放在/middleware/里面了
/middleware/casbin.go
package middleware
import (
"github.com/casbin/casbin"
"github.com/kataras/iris/context"
"net/http"
)
func New(e *casbin.Enforcer) *Casbin {
return &Casbin{enforcer: e}
}
func (c *Casbin) Wrapper() func(w http.ResponseWriter, r *http.Request, router http.HandlerFunc) {
return func(w http.ResponseWriter, r *http.Request, router http.HandlerFunc) {
if !c.Check(r) {
w.WriteHeader(http.StatusForbidden)
_, _ = w.Write([]byte("403 Forbidden"))
return
}
router(w, r)
}
}
func (c *Casbin) ServeHTTP(ctx context.Context) {
if !c.Check(ctx.Request()) {
ctx.StatusCode(http.StatusForbidden) // Status Forbiden
ctx.StopExecution()
return
}
ctx.Next()
}
type Casbin struct {
enforcer *casbin.Enforcer
}
func (c *Casbin) Check(r *http.Request) bool {
username := Username(r)
method := r.Method
path := r.URL.Path
b,_:=c.enforcer.Enforce(username, path, method)
return b
}
func Username(r *http.Request) string {
//username, _, _ := r.BasicAuth()//这玩意我用不上,把它注释掉
return "abc123" //直接返回用户名,看看测试效果
}main.go
package main
import (
"github.com/kataras/iris"
"github.com/casbin/casbin"
cm "project_path/middleware/casbin"
)
var e = casbin.NewEnforcer("casbin_model.conf", "casbi_npolicy.csv")
func newApp() *iris.Application {
casbinMiddleware := cm.New(e)
app := iris.New()
app.WrapRouter(casbinMiddleware.Wrapper())
// 如果不想使用中间件,可以通过下面方法进行判断
/*
if b,err:=e.Enforce("abc123","/user","Get");b {
fmt.Println("成功")
} else {
fmt.Println("失败")
}
*/
app.Get("/user", hi)
app.Post("/user", hi)
app.Put("/test", hi)
return app
}
func main() {
app := newApp()
app.Run(iris.Addr(":8080"))
}
func hi(ctx iris.Context) {
ctx.Writef("当你看到这个,说明通过了权限验证")
} 好 ,就这么简单,下面使用
Get访问localhost:8080/user
Post访问localhost:8080/user
上面两个访问都成功通过验证了,下面的
Get、Post、Put、Delete等等访问localhost:8080/test
都返回了403 Forbidden,当把Username方法改为return "super_admin"再访问试试。
现实项目中,可能会把Check方法中的username改为用户ID或者邮箱或者手机号都是可以的。
policy 待续...
有疑问加站长微信联系(非本文作者)
