搜索

Web开发权限管理神器Casbin

Python七号

共 2203字,需浏览 5分钟

 · 2022-01-26

用 Django 用的多了,再用其他语言或框架会有点吃力,因为 Django 是保姆级别的,基本上 Web 开发你能遇到的问题,都有现成的解决方案,拿来就用即可。比如说权限管理,甚至数据库里面的表都给你设计好了。如果没有 Django,比如说你用了 Flask,或者 FastAPI,那该怎么做权限管理?

你可能会说自己建立角色表、权限表,角色和权限的映射表,再为用户配置角色,为角色配置权限,最后在视图函数或拦截器上编写判断逻辑。

没错,基本是这样,但是实现起来非常麻烦,有没有比较简单又高效的方案呢?有,那就是 Casbin。

Casbin 是什么

Casbin 是一个强大的、高效的开源访问控制框架,其权限管理机制支持多种访问控制模型。GitHub 有 11.1 k 的星。

Casbin 还是一个通用的框架,支持主流的编程语言:

Casbin 可以做:

  • 支持自定义请求的格式,默认的请求格式为 {subject, object, action}。
  • 具有访问控制模型 model 和策略 policy 两个核心概念。
  • 支持 RBAC 中的多层角色继承,不止主体可以有角色,资源也可以具有角色。
  • 支持内置的超级用户 例如:root 或 administrator。超级用户可以执行任何操作而无需显式的权限声明。
  • 支持多种内置的操作符,如 keyMatch,方便对路径式的资源进行管理,如 /foo/bar 可以映射到 /foo*

Casbin 不能:

  • 身份认证 authentication(即验证用户的用户名和密码),Casbin 只负责访问控制。应该有其他专门的组件负责身份认证,然后由 Casbin 进行访问控制,二者是相互配合的关系。
  • 管理用户列表或角色列表。Casbin 认为由项目自身来管理用户、角色列表更为合适, 用户通常有他们的密码,但是 Casbin 的设计思想并不是把它作为一个存储密码的容器,而是存储 RBAC 方案中用户和角色之间的映射关系。

Casbin 如何工作

在 Casbin 中, 访问控制模型被抽象为基于 PERM (Policy, Effect, Request, Matcher) 的一个文件。因此,切换或升级项目的授权机制与修改配置一样简单。

举个例子吧,编写这样一个模型配置文件 model.conf:

# Request definition
[request_definition]
r = sub, obj, act
 
# Policy definition
[policy_definition]
p = sub, obj, act
 
# Policy effect
[policy_effect]
e = some(where (p.eft == allow))
 
# Matchers
[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

你说 sub、obj、act 是啥?其实是抽象出来的东西,你可以这么理解:把 sub 当作用户角色,把 obj 当作资源对象,比如说 api 的路径,act 当作行为,比如说 get 或 post 请求。

这个模型配置文件就表示当请求的 sub,obj,act  等于策略中的 sub,obj,act 的时候就放行,否则拒绝。

现在来编写策略文件:policy.csv

p, root, /api/users/confirm, GET 
p, admin, /api/users/confirm, GET

这个策略就表示如果 sub 是 root 或者 admin 的时候,就可以对 /api/users/confirm 执行 GET 请求。

然后在请求拦截器加上这样的判断逻辑:

import casbin

e = casbin.Enforcer("path/to/model.conf""path/to/policy.csv")


def 拦截器(*args **kwargs)
 sub = "admin"  # 这里写死,实际上从 request 对象获取用户角色
 obj = "/api/users/confirm"  # 实际上从 request 对象获取 URI
 act = "GET"  # 实际上从 request 对象中获取请求方法

 if e.enforce(sub, obj, act):
  print("放行")
  ...
 else:
  print("拒绝")
  ...

就这,只需在拦截器加上一小段逻辑,对原有代码基本没有入侵,使用起来是不是非常简单?

策略的配置即可放在文件中,也可以放在数据库中,做到更为灵活的配置。

安装

pip install casbin

最后的话

casbin 还有很多高级的功能,这里说的只是最简单的一种,官方文档[1]也有非常丰富的例子:

我也正在学习 casbin,分享给需要的朋友们。如有问题,留言交流。

参考资料

[1]

官方文档: https://casbin.org/docs/zh-CN/get-started


浏览 42
点赞
评论
收藏
分享

手机扫一扫分享

举报
评论
图片
表情
推荐
LoopAuthJava Web 权限管理框架
LoopAuth是一款低侵入、精简、轻量、细粒度的Java Web权限管理框架。目前包含如下功能:注
LoopAuthJava Web 权限管理框架
0
LoopAuthJava Web 权限管理框架
LoopAuth是一款低侵入、精简、轻量、细粒度的JavaWeb权限管理框架。目前包含如下功能:注解鉴权代码鉴权登录功能有/无状态登录Redis登录业务存储分离ABAC权限项目相关链接- Gitee-
LoopAuthJava Web 权限管理框架
0
OpenAuth.Net权限管理系统
项目采用经典DDD架构(用沃恩.弗农大神的话,其实这是DDD-Lite)思想进行开发,简洁而不简单,实用至上,并且所写每一行代码都经过深思熟虑,符合SOLID规则!当然,如果你想学习完整的DDD框架,
OpenAuth.Net权限管理系统
0
jty权限管理系统
jty是由spring+springmvc+hibernate+shiro+quartz+maven+easyui写的一个框架集合,参考了springside,jeesite等一些优秀的开源项目,目前
jty权限管理系统
0
ThinkPHP-5.1-Auth权限管理系统
ThinkPHP 5.1 Auth权限管理系统,实现了基本的权限管理,本系统是基于Module/Co
ThinkPHP-5.1-Auth权限管理系统
0
YUE-PMS权限管理系统
一个完全前后端分离的通用的权限管理系统,同时也是web项目的脚手架,可以很方便的基于此系统开发项目。各个application可独立启动,只要依赖pms-authorization后,做一些简单的配置
YUE-PMS权限管理系统
0
ila-shitianRBAC 权限管理系统
ila-shitian 是一个基于SpringCloudHoxton、SpringBoot2.3、OAuth2的RBAC权限管理系统。基于数据驱动视图的理念封装element-ui,即使没有vue的使
ila-shitianRBAC 权限管理系统
0
PHP-CasbinPHP 权限管理框架
PHP-Casbin 是一个用PHP语言打造的轻量级开源访问控制框架,支持ACL、RBAC、ABAC多种模型。目前在GitHub开源。PHP-Casbin采用了元模型的设计思想,支持多种经典的访问控制
PHP-CasbinPHP 权限管理框架
0
PHP-CasbinPHP 权限管理框架
PHP-Casbin 是一个用 PHP 语言打造的轻量级开源访问控制框架,支持 ACL、RBAC、A
PHP-CasbinPHP 权限管理框架
0
AuthX权限管理平台
AuthX 是一个开源的权限管理平台。AuthX核心使用SpringBoot进行平台的开发,使用Angular进行前端页面的展示,使用Security,Oauth2,JWT进行权限以及RestAPI的
AuthX权限管理平台
0
点赞
评论
收藏
分享

手机扫一扫分享

举报