用Go写后台系统API--记录心得(二)

## Go写后台API 项目很渣，大佬可以提意见~~ ### 技术栈 用的gin框架，登录验证使用jwt-go，权限管理是casbin，数据库使用mongodb ### 为什么要写这篇文章 因为想记录自己踩的坑，顺便记录心得。然后关于casbin这个库的使用资料很少,对于新手来说很难看明白，大神那肯定刷一遍就懂了。 ### 正题 写到这里我们登录时差不多了。然后用postman测试一下  token已经拿到了，然后也返回了一些员工的信息。前端是采用的vue 直接就可以通过axios来获取。员工信息存到vuex里，然后通过getters就能获取了。 有了增加员工，和登录。差不多了撸权限吧。这里用casbin这个库，不得不说确实很强大。但是资料真的好少啊。琢磨了好几天。让我写这篇文章的目的也是因为这个库。 casbin采用的是PERM模型来设计的。一个模型conf至少有四个部分 `[request_definition], [policy_definition], [policy_effect], [matchers]`如果模型使用RBAC，它也应该添加`[role_definition]`, ### 请求定义 `[request_definition]`是访问请求的定义。它定义了函数中的参数e.Enforce(...) ``` [request_definition] r = sub, obj, act ``` `sub, obj, act`,访问角色（Subject），访问的资源(Object) ，动作（Action）也可以叫访问的方法其实就是http方法GET POST那些 ### 策略定义 其实就是定义了策略的规则。 ``` [policy_definition] p = sub, obj, act p2 = sub, act ``` 举个例子 ``` p, alice, data1, read p2, bob, write-all-objects ``` 角色alice对path为data1有读的权限，角色bob可以对所有资源有wirte的权限。大概是这个意思。 ### 策略效果 `[policy_effect]`是策略效果的定义。它定义了在多个策略规则与请求匹配时是否应批准访问请求。例如，一个规则允许而另一个规则否认。 ``` [policy_effect] e = some(where (p.eft == allow)) ``` p.eft它可以是allow或deny，它是可选的，默认是allow，这里我也没理解很透彻。所以没办法说得很清楚。大家可以研究研究。。。另一个例子 ``` [policy_effect] e = !some(where (p.eft == deny)) ``` ### 匹配器 [matchers]是策略匹配的定义。匹配器是表达式。它定义了如何根据请求评估策略规则。这里的语法就是正则表达式。 ``` [matchers] m = r.sub == p.sub && r.obj == p.obj && r.act == p.act ``` 关于这个模型真的不是一两句能说完的。还是去官方看文档比我说来的快一点。。我们直接写项目来理解。 首先我们`go get github.com/casbin/casbin` 获取下这个包。根据说明我们要准备conf 文件。官方有个在线的editor，你可以根据选项生成conf ，因为我写的是restfulapi，所以我们采用restful的conf，把这个文件放到conf文件夹下面，给个名字auth_model.conf。 ``` [request_definition] r = sub, obj, act [policy_definition] p = sub, obj, act [policy_effect] e = some(where (p.eft == allow)) [matchers] m = r.sub == p.sub && keyMatch(r.obj, p.obj) && regexMatch(r.act, p.act) ``` 官方是定义了一个policy.csv来放策略。在实际项目中，肯定是要持久化到数据库中的，官方有很多数据库和orm的adapter。我数据库是使用mongo所以采用mongodb-adapter。 持久化到数据库，我们指定我们自己的数据库，如果数据库中不存在casbin_rule这个表它会自己创建， 先定义一个权限的结构，然后我们通过`Casbin`这个函数持久化到数据库并返回一个指针类型的`enforcer`方便我们后面调用，添加权限通过`AddCasbin`这个方法，把权限名，路径，方法名穿进去。 ```go //权限结构 type CasbinModel struct { ID bson.ObjectId `json:"id" bson:"_id"` Ptype string `json:"ptype" bson:"ptype"` RoleName string `json:"rolename" bson:"v0"` Path string `json:"path" bson:"v1"` Method string `json:"method" bson:"v2"` } //添加权限 func (c *CasbinModel) AddCasbin(cm CasbinModel) bool { e := Casbin() return e.AddPolicy(cm.RoleName, cm.Path, cm.Method) } //持久化到数据库 func Casbin() *casbin.Enforcer { a := mongodbadapter.NewAdapter(mongoose.MongoUrl) e := casbin.NewEnforcer("conf/auth_model.conf", a) e.LoadPolicy() return e } ``` 权限的model差不多了。接着写api ```go var ( casbins = mycasbin.CasbinModel{} ) func AddCasbin(c *gin.Context) { rolename := c.PostForm("rolename") path := c.PostForm("path") method := c.PostForm("method") ptype := "p" casbin := mycasbin.CasbinModel{ ID: bson.NewObjectId(), Ptype: ptype, RoleName: rolename, Path: path, Method: method, } isok := casbins.AddCasbin(casbin) if isok { c.JSON(http.StatusOK, gin.H{ "success": true, "msg": "保存成功", }) } else { c.JSON(http.StatusOK, gin.H{ "success": false, "msg": "保存失败", }) } } ``` 接着写权限验证的中间件 ```go //权限检查中间件 func AuthCheckRole() gin.HandlerFunc { return func(c *gin.Context) { //根据上下文获取载荷claims 从claims获得role claims := c.MustGet("claims").(*jwt.Customclaims) role := claims.Role e := mycasbin.Casbin() //检查权限 res, err := e.EnforceSafe(role, c.Request.URL.Path, c.Request.Method) if err != nil { c.JSON(http.StatusInternalServerError, gin.H{ "status": -1, "msg": "错误消息" + err.Error(), }) c.Abort() return } if res { c.Next() } else { c.JSON(http.StatusOK, gin.H{ "status": 0, "msg": "很抱歉您没有此权限", }) c.Abort() return } } } ``` 我们简单测试一下 看下结果。角色是`manager` 路径是`/apis/addemp`方法是`POST`，差不多了，有点满意了。看下数据库 casbin_rule这个表里有数据了，我之前测试已经添加了2个角色一个`admin`一个`employee`。用员工的账号登录获取token然后到添加权限的路径下测试，从数据库看到`employee`的角色是没有PATH`/apis/addrole`的权限。如果看到失败那就是对的。 然后我们测试一下。  很满意了。这个结果是我预想的。后面我们还要动态的根据权限来循环生成路由。在把数据丢给前端vue处理，写的乱七八糟的。因为太困了...项目地址https://github.com/MartiniGo/leaseapp ，后续可能不会更新这个项目因为后面是业务逻辑准备放在生产环境。如果有什么新的东西新的坑我再更