Laravel Authorization:支持 ACL、RBAC、ABAC 等模型的授权库

头像
JonLee
    阅读 4 分钟
    2

    Laravel Authorization 基于 Casbin ,是一个支持访问多种访问控制模型(如ACL,RBAC,ABAC等)的授权库。
    在这之前,你需要先了解 Casbin

    安装

    使用 Composer 安装:

    composer require casbin/laravel-authz

    Lauthz\LauthzServiceProviderauto-discovered 的,并且默认情况下已注册,但是如果您想自己注册,可以在 config/app.php 中添加 ServiceProvider:

    'providers' => [
    /*
     * Package Service Providers...
     */
    Lauthz\LauthzServiceProvider::class,
]

    Enforcer facade 也是 auto-discovered,但是如果您想手动添加它,在 config/app.php添加:

    'aliases' => [
    // ...
    'Enforcer' => Lauthz\Facades\Enforcer::class,
]

    要发布配置,请运行 vendor:publish 命令:

    php artisan vendor:publish

    这就自动创建 Model 配置文件 config/lauthz-rbac-model.conf 和 一个新的 Lauthz 配置文件 config/lauthz.php

    要迁移迁移,请运行migrate命令:

    php artisan migrate

    这将创建一个 rules 数据表。

    用法

    快速开始

    安装后,您可以执行以下操作:

    
use Enforcer;

// adds permissions to a user
Enforcer::addPermissionForUser('eve', 'articles', 'read');
// adds a role for a user.
Enforcer::addRoleForUser('eve', 'writer');
// adds permissions to a rule
Enforcer::addPolicy('writer', 'articles','edit');

    您可以校验用户的权限,如下:

    // to check if a user has permission
if (Enforcer::enforce("eve", "articles", "edit")) {
    // permit eve to edit articles
} else {
    // deny the request, show an error
}

    使用 Enforcer Api

    它提供了非常丰富的 API,以促进对 Policy 的各种操作:

    获取所有角色:

    Enforcer::getAllRoles(); // ['writer', 'reader']

    获取所有的角色的授权规则:

    Enforcer::getPolicy();

    获取某个用户的所有角色:

    Enforcer::getRolesForUser('eve'); // ['writer']

    获取某个角色的所有用户:

    Enforcer::getUsersForRole('writer'); // ['eve']

    决定用户是否拥有某个角色:

    Enforcer::hasRoleForUser('eve', 'writer'); // true or false

    给用户添加角色:

    Enforcer::addRoleForUser('eve', 'writer');

    赋予权限给某个用户或角色:

    // to user
Enforcer::addPermissionForUser('eve', 'articles', 'read');
// to role
Enforcer::addPermissionForUser('writer', 'articles','edit');

    删除用户的角色:

    Enforcer::deleteRoleForUser('eve', 'writer');

    删除某个用户的所有角色:

    Enforcer::deleteRolesForUser('eve');

    删除单个角色:

    Enforcer::deleteRole('writer');

    删除某个权限:

    Enforcer::deletePermission('articles', 'read'); // returns false if the permission does not exist (aka not affected).

    删除某个用户或角色的权限:

    Enforcer::deletePermissionForUser('eve', 'articles', 'read');

    删除某个用户或角色的所有权限:

    // to user
Enforcer::deletePermissionsForUser('eve');
// to role
Enforcer::deletePermissionsForUser('writer');

    获取用户或角色的所有权限:

    Enforcer::getPermissionsForUser('eve'); // return array

    觉得某个用户是否拥有某个权限:

    Enforcer::hasPermissionForUser('eve', 'articles', 'read');  // true or false

    更多 API 参考 Casbin API

    使用中间件

    该扩展包带有 EnforcerMiddlewareRequestMiddleware 中间件。 您可以将它们添加到您的app/Http/Kernel.php文件中:

    protected $routeMiddleware = [
    // ...
    // a basic Enforcer Middleware
    'enforcer' => \Lauthz\Middlewares\EnforcerMiddleware::class,
    // an HTTP Request Middleware
    'http_request' => \Lauthz\Middlewares\RequestMiddleware::class,
];

    基本 Enforcer 中间件

    然后就可以使用它们来保护路由了:

    Route::group(['middleware' => ['enforcer:articles,read']], function () {
    // pass
});

    HTTP 请求中间件 ( 支持RESTful )

    如果需要授权一个请求,则需要首先在 config/lauthz-rbac-model.conf 中定义模型配置:

    [request_definition]
r = sub, obj, act

[policy_definition]
p = sub, obj, act

[role_definition]
g = _, _

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = g(r.sub, p.sub) && keyMatch2(r.obj, p.obj) && regexMatch(r.act, p.act)

    然后,使用中间件规则:

    Route::group(['middleware' => ['http_request']], function () {
    Route::resource('photo', 'PhotoController');
});

    多个决策器

    如果您的项目中需要多个权限控制,则可以配置多个 决策器

    lauthz 配置文件中, 应该这样配置:

    return [
    'default' => 'basic',

    'basic' => [
        'model' => [
            // ...
        ],

        'adapter' => Lauthz\Adapters\DatabaseAdapter::class,
        // ...
    ],

    'second' => [
        'model' => [
            // ...
        ],

        'adapter' => Lauthz\Adapters\DatabaseAdapter::class,
        // ...
    ],
];

    然后选择使用哪一个决策器:

    Enforcer::guard('second')->enforce("eve", "articles", "edit");

    Artisan 命令行

    你可以在 控制台 使用 artisan 命令创建策略:

    给用户添加策略:

    php artisan policy:add eve,articles,read

    给角色添加策略:

    php artisan policy:add writer,articles,edit

    给用户赋予角色:

    php artisan role:assign eve writer

    缓存

    缓存 授权 规则可以提升性能,默认是关闭的。

    在 Laravel 的 config/lauthz.php 中设置自己的缓存配置:

    'cache' => [
    // changes whether Lauthz will cache the rules.
    'enabled' => false,

    // cache store
    'store' => 'default',

    // cache Key
    'key' => 'rules',

    // ttl \DateTimeInterface|\DateInterval|int|null
    'ttl' => 24 * 60,
],

    最后

    Casbin 项目地址:https://github.com/php-casbin/php-casbin

    Laravel Authorization 项目地址:https://github.com/php-casbin/laravel-authz

    你可以查看 Casbin 的完整文档 Casbin Docs.

    phplaravelrbac权限授权
    本文系翻译,阅读原文
    https://github.com/php-casbin/laravel-authz
    JonLee
    941 声望19 粉丝

    作为一个IT职业人,

    « 上一篇
    使用 Casbin 作为 ThinkPHP 的权限控制中间件
    下一篇 »
    Golang里的AES、DES、3DES加解密,支持ECB、CBC等多种模式组合,兼容JAVA、PHP等语言

    引用和评论

    推荐阅读
    头像
    Go语言中实现RSA加解密、签名验证算法

    JonLee阅读 977

    头像
    如何实现一个楼中楼的评论系统

    小蚊酱22阅读 9.9k

    头像
    One 一个简洁的博客、微博客系统

    8ug_icu45阅读 2.9k

    头像
    基于 Laravel6.x 构建的博客应用,支持 Markdown,支持图片拖拽上传,基于 RBAC 权限管理系统

    左诗右码7阅读 5k

    头像
    Just for fun——迅速写完快速排序

    ufdf3阅读 2.3k

    头像
    Swoole 协程是否支持 PHP 的 JIT ?

    韩天峰4阅读 534

    头像
    PHPy 实践:从 Python 脚本到 PHP 应用的无缝衔接

    汤青松3阅读 1.1k

    0 条评论
    得票最新