Laravel Authorization:支援 ACL、RBAC、ABAC 等模型的授權庫

JonLee發表於2019-10-14
Laravel模型
系列文章
Think Authz:支援 ACL、RBAC、ABAC 等模型的授權(角色和許可權控制)庫 Laravel Authorization:支援 ACL、RBAC、ABAC 等模型的授權庫

Laravel Authorization 基於 Casbin ,是一個支援訪問多種訪問控制模型(如ACL,RBAC,ABAC等)的授權庫。
在這之前,你需要先了解 Casbin

安裝

使用 Composer 安裝:

composer require casbin/laravel-authz

Lauthz\LauthzServiceProviderauto-discovered 的,並且預設情況下已註冊,但是如果您想自己註冊,可以在 config/app.php 中新增 ServiceProvider:

'providers' => [
    /*
     * Package Service Providers...
     */
    Lauthz\LauthzServiceProvider::class,
]

Enforcer facade 也是 auto-discovered,但是如果您想手動新增它,在 config/app.php新增:

'aliases' => [
    // ...
    'Enforcer' => Lauthz\Facades\Enforcer::class,
]

要釋出配置,請執行 vendor:publish 命令:

php artisan vendor:publish

這就自動建立 Model 配置檔案 config/lauthz-rbac-model.conf 和 一個新的 Lauthz 配置檔案 config/lauthz.php

要遷移遷移,請執行migrate命令:

php artisan migrate

這將建立一個 rules 資料表。

用法

快速開始

安裝後,您可以執行以下操作:


use Enforcer;

// adds permissions to a user
Enforcer::addPermissionForUser('eve', 'articles', 'read');
// adds a role for a user.
Enforcer::addRoleForUser('eve', 'writer');
// adds permissions to a rule
Enforcer::addPolicy('writer', 'articles','edit');

您可以校驗使用者的許可權,如下:

// to check if a user has permission
if (Enforcer::enforce("eve", "articles", "edit")) {
    // permit eve to edit articles
} else {
    // deny the request, show an error
}

使用 Enforcer Api

它提供了非常豐富的 API,以促進對 Policy 的各種操作:

獲取所有角色:

Enforcer::getAllRoles(); // ['writer', 'reader']

獲取所有的角色的授權規則:

Enforcer::getPolicy();

獲取某個使用者的所有角色:

Enforcer::getRolesForUser('eve'); // ['writer']

獲取某個角色的所有使用者:

Enforcer::getUsersForRole('writer'); // ['eve']

決定使用者是否擁有某個角色:

Enforcer::hasRoleForUser('eve', 'writer'); // true or false

給使用者新增角色:

Enforcer::addRoleForUser('eve', 'writer');

賦予許可權給某個使用者或角色:

// to user
Enforcer::addPermissionForUser('eve', 'articles', 'read');
// to role
Enforcer::addPermissionForUser('writer', 'articles','edit');

刪除使用者的角色:

Enforcer::deleteRoleForUser('eve', 'writer');

刪除某個使用者的所有角色:

Enforcer::deleteRolesForUser('eve');

刪除單個角色:

Enforcer::deleteRole('writer');

刪除某個許可權:

Enforcer::deletePermission('articles', 'read'); // returns false if the permission does not exist (aka not affected).

刪除某個使用者或角色的許可權:

Enforcer::deletePermissionForUser('eve', 'articles', 'read');

刪除某個使用者或角色的所有許可權:

// to user
Enforcer::deletePermissionsForUser('eve');
// to role
Enforcer::deletePermissionsForUser('writer');

獲取使用者或角色的所有許可權:

Enforcer::getPermissionsForUser('eve'); // return array

覺得某個使用者是否擁有某個許可權:

Enforcer::hasPermissionForUser('eve', 'articles', 'read');  // true or false

更多 API 參考 Casbin API

使用中介軟體

該擴充套件包帶有 EnforcerMiddlewareRequestMiddleware 中介軟體。 您可以將它們新增到您的app/Http/Kernel.php檔案中:

protected $routeMiddleware = [
    // ...
    // a basic Enforcer Middleware
    'enforcer' => \Lauthz\Middlewares\EnforcerMiddleware::class,
    // an HTTP Request Middleware
    'http_request' => \Lauthz\Middlewares\RequestMiddleware::class,
];

基本 Enforcer 中介軟體

然後就可以使用它們來保護路由了:

Route::group(['middleware' => ['enforcer:articles,read']], function () {
    // pass
});

HTTP 請求中介軟體 ( 支援RESTful )

如果需要授權一個請求,則需要首先在 config/lauthz-rbac-model.conf 中定義模型配置:

[request_definition]
r = sub, obj, act

[policy_definition]
p = sub, obj, act

[role_definition]
g = _, _

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = g(r.sub, p.sub) && keyMatch2(r.obj, p.obj) && regexMatch(r.act, p.act)

然後,使用中介軟體規則:

Route::group(['middleware' => ['http_request']], function () {
    Route::resource('photo', 'PhotoController');
});

多個決策器

如果您的專案中需要多個許可權控制,則可以配置多個 決策器

lauthz 配置檔案中, 應該這樣配置:

return [
    'default' => 'basic',

    'basic' => [
        'model' => [
            // ...
        ],

        'adapter' => Lauthz\Adapters\DatabaseAdapter::class,
        // ...
    ],

    'second' => [
        'model' => [
            // ...
        ],

        'adapter' => Lauthz\Adapters\DatabaseAdapter::class,
        // ...
    ],
];

然後選擇使用哪一個決策器:

Enforcer::guard('second')->enforce("eve", "articles", "edit");

Artisan 命令列

你可以在 控制檯 使用 artisan 命令建立策略:

給使用者新增策略:

php artisan policy:add eve,articles,read

給角色新增策略:

php artisan policy:add writer,articles,edit

給使用者賦予角色:

php artisan role:assign eve writer

快取

快取 授權 規則可以提升效能,預設是關閉的。

在 Laravel 的 config/lauthz.php 中設定自己的快取配置:

'cache' => [
    // changes whether Lauthz will cache the rules.
    'enabled' => false,

    // cache store
    'store' => 'default',

    // cache Key
    'key' => 'rules',

    // ttl \DateTimeInterface|\DateInterval|int|null
    'ttl' => 24 * 60,
],

最後

Casbin 專案地址:github.com/php-casbin/php-casbin

Laravel Authorization 專案地址:github.com/php-casbin/laravel-auth...

你可以檢視 Casbin 的完整文件 Casbin Docs.

本作品採用《CC 協議》,轉載必須註明作者和本文連結

相關文章