Chiu
  • 231

casbin访问控制框架在GO中的基本使用方法

 阅读约 9 分钟

我对casbin的理解

本文以iris框架作为示例,原生或其它框架基本是一样的。

根据官方文档,首先介绍一下几个重要部位。(安装方法跳过)

使用casbin有两个地方是需要配置的,一个是model,另一个是policy

我们做权限控制用得比较多的是RBAC(基于角色的权限控制)

看过官方文档的同学都知道,model的内容来源可以是.conf文件,也可以是在代码中编写;但是policy内容应该是动态的,可以随时更新的,把它放.csv文件里管理起来多不方便?稍安勿躁,后面会说说我的解决方法。

简单的测试

先看看别人怎么做的

package main

import (
    "github.com/kataras/iris"

    "github.com/casbin/casbin"
    cm "github.com/iris-contrib/middleware/casbin"
)

var Enforcer = casbin.NewEnforcer("casbin_model.conf", "casbi_npolicy.csv")

func newApp() *iris.Application {
    casbinMiddleware := cm.New(Enforcer)
    app := iris.New()
    app.WrapRouter(casbinMiddleware.Wrapper())
    app.Get("/", hi)
    app.Any("/dataset1/{p:path}", hi)
    app.Post("/dataset1/resource1", hi)
    app.Get("/dataset2/resource2", hi)
    app.Post("/dataset2/folder1/{p:path}", hi)
    app.Any("/dataset2/resource1", hi)

    return app
}

func main() {
    app := newApp()
    app.Run(iris.Addr(":8080"))
}

func hi(ctx iris.Context) {
    ctx.Writef("Hello %s", cm.Username(ctx.Request()))
}

上面是iris文档上的一段示例代码,可能版本不一样了,我运行下面的代码会直接报错,原因是github.com/iris-contrib/middleware/casbin/casbin.go里面的一个方法:

func (c *Casbin) Check(r *http.Request) bool {
    username := Username(r)
    method := r.Method
    path := r.URL.Path
    b:=c.enforcer.Enforce(username, path, method)//这里c.enforcer.Enforce返回两个值,一个是bool,另一个是error,这里只定义了一个,所以报错了
    return b
}

还有一个问题是,这个中间件默认采用BasicAuth获取用户名的,如果你也是采用这种方法,那就大吉大利了,如果不是,还是自己动手取用户名吧

既然是一个简单的测试,那就简单粗暴的直接改写整个casbin.go文件

开始动手

/rbac_model.conf

//RBAC1

//请求定义
//sub 想要访问资源的用户
//obj 要访问的资源
//act 用户对资源执行的操作,act可以是read、write、print等等你想要自定义的操作
[request_definition]
r = sub, obj, act

//策略定义,也就是*.cvs文件 p 定义的格式
[policy_definition]
p = sub, obj, act

//组定义,也就是*.cvs文件 g 定义的格式。g是用户组或角色
[role_definition]
g = _, _

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = g(r.sub, p.sub) && keyMatch(r.obj, p.obj) && (r.act == p.act || p.act == "*")

/rbac_policy.csv (注释删掉)

p,abc123,/user,GET //用户abc123对/user有GET权限,下面同理
p,abc123,/user,POST
p,admin,/test,* //角色或用户组admin对/test有所有权限
g,super_admin,admin //用户super_admin属于admin组或角色

复制整个casbin.go文件到自己的项目下,我把它放在/middleware/里面了

/middleware/casbin.go

package middleware

import (
    "github.com/casbin/casbin"
    "github.com/kataras/iris/context"
    "net/http"
)

func New(e *casbin.Enforcer) *Casbin {
    return &Casbin{enforcer: e}
}

func (c *Casbin) Wrapper() func(w http.ResponseWriter, r *http.Request, router http.HandlerFunc) {
    return func(w http.ResponseWriter, r *http.Request, router http.HandlerFunc) {
        if !c.Check(r) {
            w.WriteHeader(http.StatusForbidden)
            _, _ = w.Write([]byte("403 Forbidden"))
            return
        }
        router(w, r)
    }
}

func (c *Casbin) ServeHTTP(ctx context.Context) {
    if !c.Check(ctx.Request()) {
        ctx.StatusCode(http.StatusForbidden) // Status Forbiden
        ctx.StopExecution()
        return
    }
    ctx.Next()
}

type Casbin struct {
    enforcer *casbin.Enforcer
}

func (c *Casbin) Check(r *http.Request) bool {
    username := Username(r)
    method := r.Method
    path := r.URL.Path
    b,_:=c.enforcer.Enforce(username, path, method)
    return b
}

func Username(r *http.Request) string {
    //username, _, _ := r.BasicAuth()//这玩意我用不上,把它注释掉
    return "abc123" //直接返回用户名,看看测试效果
}

main.go

package main

import (
    "github.com/kataras/iris"

    "github.com/casbin/casbin"
    cm "project_path/middleware/casbin"
)

var e = casbin.NewEnforcer("casbin_model.conf", "casbi_npolicy.csv")

func newApp() *iris.Application {
    casbinMiddleware := cm.New(e)
    app := iris.New()
    app.WrapRouter(casbinMiddleware.Wrapper())
    // 如果不想使用中间件,可以通过下面方法进行判断
    /*
    if b,err:=e.Enforce("abc123","/user","Get");b {
        fmt.Println("成功")
    } else {
        fmt.Println("失败")
    }
    */
    app.Get("/user", hi)
    app.Post("/user", hi)
    app.Put("/test", hi)

    return app
}

func main() {
    app := newApp()
    app.Run(iris.Addr(":8080"))
}

func hi(ctx iris.Context) {
    ctx.Writef("当你看到这个,说明通过了权限验证")
}

,就这么简单,下面使用
Get访问localhost:8080/user
Post访问localhost:8080/user
上面两个访问都成功通过验证了,下面的
Get、Post、Put、Delete等等访问localhost:8080/test
都返回了403 Forbidden,当把Username方法改为return "super_admin"再访问试试。

现实项目中,可能会把Check方法中的username改为用户ID或者邮箱或者手机号都是可以的。

policy 待续...

阅读 1.9k发布于 2019-07-27

推荐阅读
目录