Casbin 是一个强大的、高效的开源访问控制库,提供了灵活的权限管理能力。Casbin 支持多种访问控制模型,并且可以很容易地集成到现有的应用中。适用于各种编程语言和框架环境,包括但不限于 Go、Python、JavaScript、Java、PHP、.NET 等。
Casbin 有两个核心概念,模型(Model)和策略(Policy),模型连接了请求和策略之间的映射规则,资源的可访问控制都写在策略中。
Casbin 的职责很明确,只负责资源的权限控制,不会进行其他的额外处理,包括身份认证、用户管理等。
可以理解为 Casbin 假定走到这一层的请求都是已经完成了前置处理的。
模型
模型相当于一个配置文件,告诉 Casbin 该如何对请求进行鉴权,一个模型文件最少具有四个部分,如下
[request_definition]
r = sub, obj, act
[policy_definition]
p = sub, obj, act
[policy_effect]
e = some(where (p.eft == allow))
[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act
第一次看这个 model 文件确实会很迷惑,下面来逐步拆解 model 各部分的含义和作用。
request_definition
访问请求的定义,它定义了 e.Enforce(…) 函数中的参数。
[request_definition]
r = sub, obj, act
sub, obj, act 是经典三元组: 访问实体 (Subject),访问资源 (Object) 和访问方法 (Action)。格式并不是固定的,可以根据需求随意定义
policy_definition
策略的定义,它定义了策略的格式,在进行权限校验时会根据定义的策略格式和 policy 集合进行比对。比如有下面两条策略
[policy_definition]
p = sub, obj, act
p2 = sub, act
p 是一种策略格式,它有实体、资源和方法三个部分,p2 是另一种策略格式,它只有实体和方法两个部分,在策略文件中我们可以通过p和p2两个标识来表明是那种策略。如下:
p, alice, data1, read
p2, bob, write
policy_effect
对policy生效范围的定义, 当定义了多个policy_definition同时匹配访问请求request时, 该如何对多个决策结果进行集成以实现统一决策。
[policy_effect]
e = some(where (p.eft == allow))
示例代码中的eft是策略的一个默认参数,有allow 和 deny两个可选值,默认是 allow,some是一个函数,功能和JS的Array.some一样,只要有一个allow,就表示允许访问(专业术语:allow-overrides)。
matchers
策略匹配器的定义,匹配器是一组表达式,确定了如何根据请求确定生效的策略规则。
[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act
这是一个最简单的匹配器,它要求请求和策略的三元组必须完全一样。在匹配器中可以使用算术运算和逻辑运算来组合表达式。
另外 Casbin 也内置了一些常用的函数来方便使用
| 函数 | url | 模式 | 例子 |
|---|---|---|---|
| keyMatch | 像 /alice_data/resource1 这样的 URL路径 | 像 /alice_data/* 这样的URL路 径或 * 模式 | 地址 |
| keyMatch2 | 像 /alice_data/resource1 这样的 URL路径 | 像 /alice_data/:resource 这 样的URL路径或 : 模式 | 地址 |
| keyMatch3 | 像 /alice_data/resource1 这样的 URL路径 | 像 /alice_data/{resource} 这 样的URL路径或 {} 模式 | 地址 |
| keyMatch4 | 像 /alice_data/123/book/123 这 样的URL路径 | 像 /alice_data/{id}/book/{id} 这样的URL路径或 {} 模式 | 地址 |
| keyMatch5 | 像 /alice_data/123/?status=1 这 样的URL路径 | 像 /alice_data/{id}/* 这样的 URL路径, {} 或 * 模式 | 地址 |
| regexMatch | 任何字符串 | 一个正则表达式模式 | 地址 |
| ipMatch | 像 192.168.2.123 这样的IP地址 | 像 192.168.2.0/24 这样的IP地 址或CIDR | 地址 |
| globalMatch | 像 /alice_data/resource1 这样的 路径样式路径 | 像 /alice_data/* 这样的glob模 式 | 地址 |
如果这些内置函数不满足需求,也可以自定义函数来进行处理(不同的语言包添加方式不一样,比如NodeJS是通过enforcer.addFunction(name, func)的方式添加的)。 |
策略
Casbin 的策略支持多种存储方式,最基础的方式是 LocalPolicy,即数据保存在本地.csv文件中,内容格式如下
p, alice, data1, read
p, bob, data2, write
每一行都是一个条策略规则,每一行具体的内容要和模型中定义的 policy_definition 对应的上 。
现在我们有了模型和策略就可以开始代码实战了,首先安装依赖,为了方便测试我们用 koa 起一个服务
$ pnpm i casbin koa koa-router @ladjs/koa-views ejs koa-bodyparser koa-logger -S
依赖安装完成之后创建应用程序
import Koa from 'koa'
import KoaLogger from 'koa-logger'
import KoaBodyParser from 'koa-bodyparser'
import views from '@ladjs/koa-views'
import router from './src/router/index.ts'
import { dirname } from "node:path";
import { fileURLToPath } from 'node:url'
const __filename = fileURLToPath(import.meta.url);
const __dirname = dirname(__filename);
import KoaRouter from 'koa-router'
import { newEnforcer } from 'casbin'
const router = new KoaRouter();
router.get('/', async (ctx) => {
await ctx.render('form.ejs', { withResult: false })
})
router.post('/check_roles', async (ctx) => {
const enforcer = await newEnforcer('basic_model.conf', 'basic_policy.csv')
const { subject, resource, action } = ctx.request.body as Record<string, unknown>
const res = await enforcer.enforce(subject, resource, action);
console.log(ctx.request.body, ' => ', res)
await ctx.render('form.ejs', { result: res ? 'success' : 'failed', withResult: true })
})
export default router
const app = new Koa()
app
.use(KoaLogger())
.use(KoaBodyParser())
.use(views(__dirname + '/src/views', {
map: {
ejs: 'ejs'
}
}))
.use(router.routes())
.use(router.allowedMethods())
app.listen(3000, () => {
console.log('server started, listening on [ 3000 ]')
})
模板文件就是一个基础的表单,用来提交数据
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Document</title>
<link href="https://cdn.jsdelivr.net/npm/bootstrap@5.3.3/dist/css/bootstrap.min.css" rel="stylesheet" integrity="sha384-QWTKZyjpPEjISv5WaRU9OFeRpok6YctnYmDr5pNlyT2bRjXh0JMhjY6hW+ALEwIH" crossorigin="anonymous">
</head>
<body>
<div class="card" style="width: 400px;margin: 100px auto">
<div class="card-body">
<form action="/check_roles" method="post" >
<div class="mb-3">
<label for="subject" class="form-label">用户标识</label>
<input type="text" class="form-control" name="subject" />
</div>
<div class="mb-3">
<label for="resource" class="form-label">访问资源</label>
<input type="text" class="form-control" name="resource" />
</div>
<div class="mb-3">
<label for="action" class="form-label">动作</label>
<input type="text" class="form-control" name="action" />
</div>
<button type="submit" class="btn btn-primary">检查</button>
</form> </div> </div>
<% if(withResult) { %>
<h2 style="text-align: center;">
<%= result %>
</h2>
<% } %>
<script src="https://cdn.jsdelivr.net/npm/bootstrap@5.3.3/dist/js/bootstrap.bundle.min.js" integrity="sha384-YvpcrYf0tY3lHB60NNkmXc5s9fDVZLESaAA55NDzOxhy9GkcIdslK1eN7N6jIeHz" crossorigin="anonymous"></script>
</body>
</html>
此时输入策略文件中的策略进行测试可以看下哦效果如下
如果是可定义的权限控制,那么使用csv这种形式就不太方便了, Casbin 支持使用数据库进行持久化的数据加载和保存。只需要安装对应的数据库适配器即可,支持的适配器可以文档查询。下面我们就把策略文件替换为sqlite适配器,安装适配器和驱动
$ pnpm i sqlite3 casbin-basic-adapter -S
然后创建一个数据库文件,使用SQL语句进行建表,casbin适配器默认读取casbin_rule表,所以表名需要指定这个
CREATE TABLE casbin_rule (
id INTEGER PRIMARY KEY AUTOINCREMENT, -- 自动递增的主键
ptype TEXT NOT NULL, -- 字符串类型的字段,不允许为空
v0 TEXT, -- 字符串类型的字段
v1 TEXT, -- 字符串类型的字段
v2 TEXT, -- 字符串类型的字段
v3 TEXT, -- 字符串类型的字段
v4 TEXT, -- 字符串类型的字段
v5 TEXT, -- 字符串类型的字段
v6 TEXT -- 字符串类型的字段
);
-- 插入第一行数据: p, alice, data1, read
INSERT INTO casbin_rule (ptype, v0, v1, v2)
VALUES
('p', 'alice', 'data1', 'read');
-- 插入第二行数据: p, bob, data2, write
INSERT INTO casbin_rule (ptype, v0, v1, v2)
VALUES
('p', 'bob', 'data2', 'write');
添加一个数据库连接文件
import sqlite from 'sqlite3'
import {fileURLToPath} from "node:url";
import {dirname, resolve} from "node:path";
const __filename = fileURLToPath(import.meta.url);
const __dirname = dirname(__filename);
const sqlite3 = sqlite.verbose()
const db = new sqlite3.Database(resolve(__dirname, '../db/casbin.db'))
export default db
将之前从csv中读取的代码改为通过适配器加载
router.post('/check_roles', async (ctx) => {
const adapter = await BasicAdapter.newAdapter('sqlite3', db);
const enforcer = await newEnforcer('basic_model.conf', adapter)
const { subject, resource, action } = ctx.request.body as Record<string, unknown>
const res = await enforcer.enforce(subject, resource, action);
console.log(ctx.request.body, ' => ', res, ' By SQLite')
await ctx.render('form.ejs', { result: res ? 'success' : 'failed', withResult: true })
})
此时再进行校验效果依旧一样
然后就可以添加接口来实现策略的增删改查,进行权限的灵活控制了。
