PHP 中基于 Casbin 做 RBAC + RESTful 权限控制

头像
JonLee
    阅读 2 分钟
    4

    PHP-Casbin 是一个强大的、高效的开源访问控制框架,它支持基于各种访问控制模型(RBAC ABAC ACL)的权限管理。

    这里使用官方提供的数据库适配器扩展:DBAL Adapter.

    安装

    通过composer安装:

    composer require casbin/casbin
composer require casbin/dbal-adapter

    使用 RBAC Model

    model.conf 如下:

    [request_definition]
r = sub, obj, act

[policy_definition]
p = sub, obj, act

#  RBAC角色继承关系的定义
[role_definition]
g = _, _

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = g(r.sub, p.sub) && keyMatch2(r.obj, p.obj) && regexMatch(r.act, p.act)

    初始化一个Casbin enforcer

    use Casbin\Enforcer;
use CasbinAdapter\DBAL\Adapter;

$adapter = Adapter::newAdapter([
    'driver' => 'pdo_mysql',
    'host' => '127.0.0.1',
    'dbname' => 'test',
    'user' => 'root',
    'password' => '',
    'port' => '3306',
]);

$enforcer = new Enforcer('path/to/model.conf', $adapter);

    添加策略

    给alice和bob分配角色:

    // alice has the admin role
$enforcer->addRoleForUser('alice', 'admin'); 
// bob has the member role
$enforcer->addRoleForUser('bob', 'member');

    给member角色分配权限,member 角色仅对foo资源有查看权限:

    $enforcer->addPermissionForUser('member', '/foo', 'GET');
$enforcer->addPermissionForUser('member', '/foo/:id', 'GET');

    admin角色对foo拥有增删改查权限:

    // admin inherits all permissions of member
$enforcer->addRoleForUser('admin', 'member');

$enforcer->addPermissionForUser('admin', '/foo', 'POST');
$enforcer->addPermissionForUser('admin', '/foo/:id', 'PUT');
$enforcer->addPermissionForUser('admin', '/foo/:id', 'DELETE');

    分配完角色和权限后,数据库中的策略规则大致如下:

    g, alice, admin
g, bob, member

p, memeber, /foo, GET
p, memeber, /foo/:id, GET

g, admin, member

p, admin, /foo, POST
p, admin, /foo/:id, PUT
p, admin, /foo/:id, DELETE

    验证权限

    alice 具有admin角色,继承adminmember两个角色的全部权限.

    $enforcer->enforce('alice', '/foo', 'GET'); // true
$enforcer->enforce('alice', '/foo', 'GET'); // true

$enforcer->enforce('alice', '/foo', 'POST'); // true
$enforcer->enforce('alice', '/foo/1', 'PUT'); // true
$enforcer->enforce('alice', '/foo/1', 'DELETE'); // true

    bob 具有member角色, 只继承member的权限.

    $enforcer->enforce('bob', '/foo', 'GET'); // true
$enforcer->enforce('bob', '/foo', 'GET'); // true

$enforcer->enforce('bob', '/foo', 'POST'); // false
$enforcer->enforce('bob', '/foo/1', 'PUT'); // false
$enforcer->enforce('bob', '/foo/1', 'DELETE'); // false

    文章转发原始链接:PHP 中基于 Casbin 做 RBAC + RESTful 权限控制

    permissionrestfulaclrbacphp
    JonLee
    941 声望19 粉丝

    作为一个IT职业人,

    « 上一篇
    ThinkGo:一个轻量级的 Go 语言 MVC 框架
    下一篇 »
    基于 PHP-Casbin 的 ABAC 权限控制

    引用和评论

    推荐阅读
    头像
    Go语言中实现RSA加解密、签名验证算法

    JonLee阅读 977

    头像
    如何实现一个楼中楼的评论系统

    小蚊酱22阅读 9.9k

    头像
    基于 Laravel6.x 构建的博客应用,支持 Markdown,支持图片拖拽上传,基于 RBAC 权限管理系统

    左诗右码7阅读 5k

    头像
    Just for fun——迅速写完快速排序

    ufdf3阅读 2.3k

    头像
    Swoole 协程是否支持 PHP 的 JIT ?

    韩天峰4阅读 534

    头像
    PHPy 实践:从 Python 脚本到 PHP 应用的无缝衔接

    汤青松3阅读 1.1k

    头像
    php-fpm reload 会取消正在处理的请求的解决方案

    陆安2阅读 2.6k

    0 条评论
    得票最新