RBAC模型中新定义了角色和继承关系。用户可以通过角色区分不同的权限。用户在继承不同角色时拥有多种权限。
[role_definition]
g = _, _
g2 = _, _
g是一个RBAC系统,g2是另一个RBAC系统。 _、_代表角色继承关系的前任和后继,即前任继承后继角色的权限。
策略中存储的数据是:
p, data2_admin, data2, read
g, alice, data2_admin
这意味着 alice 是角色 data2_admin 的成员。这里的 alice 可以是用户、资源或角色。 Cabin 只将其识别为字符串。
Casbin只验证字符串的准确性,所以开发者需要验证这个角色是否存在。 Cabin不能循环继承,会出现死锁。
用户权限和角色信息存储在策略表中,策略数据也是如此:p、_、_、_ 和 g、_、_。
rbac API提供了若干方法用户操作用户权限和角色:
- 添加用户
Enfocer.AddPolicy("bob", "/v1/home", "read")
- 添加角色
Enfocer.AddRoleForUser("bob", "user")
- 获取用户角色
Enfocer.GetRolesForUser("bob")
- 获取角色用户
Enfocer.GetUsersForRole("user")
- 判断该用户是否存在该角色
Enfocer.HasRoleForUser("bob", "user")
- 添加多个角色
Enfocer.AddRolesForUser("alice", []string{
"user1", "user2", "user3"})
- 删除角色
Enfocer.DeleteRoleForUser("alice", "user3")
更多移步https://casbin.org/zh/docs/rbac-api
rbac模型可以通过用户名或角色来控制权限。例如,在官方编辑器中:
Pollic中就同时使用用户名和角色来控制权限。一般情况是用户拥有角色,角色控制权限。
那么添加用户的时候第一个参数就变成了角色
Enfocer.AddPolicy("user", "/v1/home", "read")
那么验证逻辑如下:
import (
"fmt"
"github.com/casbin/casbin/v2"
xormadapter "github.com/casbin/xorm-adapter/v2"
_ "github.com/go-sql-driver/mysql"
"log"
"xorm.io/xorm"
)
var Enfocer *casbin.Enforcer
var DB *xorm.Engine
func init() {
//数据库引擎配置
engine, err := xorm.NewEngine("mysql", "root:root@/test?charset=utf8")
if err != nil {
log.Printf("数据库驱动错误:%v", err)
return
}
DB = engine
//casbin适配器配置
a, err := xormadapter.NewAdapter("mysql", "root:root@tcp(127.0.0.1:3306)/test?charset=utf8", true)
if err != nil {
log.Printf("连接数据库错误:%v", err)
return
}
e, err := casbin.NewEnforcer("rbac/model.conf", a)
if err != nil {
log.Printf("初始化casbin错误:%v", err)
return
}
Enfocer = e
}
//根据用户名获取角色信息
roles, err := Enfocer.GetRolesForUser("bob")
if err != nil {
log.Printf("系统错误:%v", err)
}
//通过请求获取url地址和其他验证参数
url := "/v1/home"
param := "read"
//casbin规则匹配
for _, item := range roles {
flag, err := Enfocer.Enforce(item, url, param)
if err != nil {
log.Printf("系统错误:%v", err)
return
}
if flag == false {
continue
} else {
fmt.Println("验证通过!")
return
}
}
fmt.Println("无权限访问!")
. . .
相关推荐
ads via 小工具