這篇部落格還是整理從https://github.com/LyricTian/gin-admin 這個專案中學習的golang相關知識。
作者在專案中使用了 github.com/casbin/casbin
進行許可權控制的,這個庫自己之前也沒有用過,正好可以通過這個專案學習一下使用。 當然這篇部落格並不會對casbin的使用做非常詳細的說明,感興趣的可以去官網看具體的使用文件。
關於casbin
常見訪問控制模型
ABAC: 基於屬性的訪問控制。
DAC: 自主訪問控制模型(DAC,Discretionary Access Control)是根據自主訪問控制策略建立的一種模型,允許合法使用者以使用者或使用者組的身份訪問策略規定的客體,同時阻止非授權使用者訪問客體。擁有客體許可權的使用者,可以將該客體的許可權分配給其他使用者。
ACL: ACL是最早也是最基本的一種訪問控制機制,它的原理非常簡單:每一項資源,都配有一個列表,這個列表記錄的就是哪些使用者可以對這項資源執行CRUD中的那些操作。當系統試圖訪問這項資源時,會首先檢查這個列表中是否有關於當前使用者的訪問許可權,從而確定當前使用者可否執行相應的操作。總得來說,ACL是一種面向資源的訪問控制模型,它的機制是圍繞“資源”展開的。
RBAC: 基於角色的訪問控制(RBAC, Role Based Access Control)在使用者和許可權之間引入了“角色(Role)”的概念,角色解耦了使用者和許可權之間的關係。
casbin
casbin使用配置檔案來設定訪問控制模型。在 Casbin 中, 訪問控制模型被抽象為基於 PERM (Policy, Effect, Request, Matcher) 的一個檔案。
Casbin中最基本、最簡單的model是ACL。ACL中的model CONF為:
# Request definition
[request_definition]
r = sub, obj, act
# Policy definition
[policy_definition]
p = sub, obj, act
# Policy effect
[policy_effect]
e = some(where (p.eft == allow))
# Matchers
[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act
Request definition: 代表請求,上面的配置中 r = sub, obj, act
代表一個請求有三個標準元素:請求主體,請求物件,請求操作。
Policy definition: 代表策略,表示具體的許可權定義的規則是什麼,上面配置中 p = sub, obj, act
Policy effect: Effect 用來判斷如果一個請求滿足了規則,是否需要同意請求
Matchers: 有請求,有規則,那麼請求是否匹配某個規則,則是matcher進行判斷的
ACL with superuser 栗子
model的配置:
[request_definition]
r = sub, obj, act
[policy_definition]
p = sub, obj, act
[policy_effect]
e = some(where (p.eft == allow))
[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act || r.sub == "root"
Policey 配置:
p, alice, data1, read
p, bob, data2, write
當我們請求:alice,data1,read
根據匹配規則,匹配的結果就是true
當我們請求:alice,data1,write
根據匹配規則,匹配的規則就是false
RESful (KeyMatch2) 栗子
model的配置:
[request_definition]
r = sub, obj, act
[policy_definition]
p = sub, obj, act
[policy_effect]
e = some(where (p.eft == allow))
[matchers]
m = r.sub == p.sub && keyMatch2(r.obj, p.obj) && regexMatch(r.act, p.act)
Policy 定義:
p, alice, /alice_data/:resource, GET
p, alice, /alice_data2/:id/using/:resId, GET
當我們請求 alice, /alice_data/hello, GET
根據matchers規則匹配了 p, alice, /alice_data/:resource, GET
所以返回true
當我們請求 alice, /alice_data/hello, POST
根據matchers規則沒有匹配到,所以返回false
RBAC 栗子
model的配置:
[request_definition]
r = sub, obj, act
[policy_definition]
p = sub, obj, act
[role_definition]
g = _, _
[policy_effect]
e = some(where (p.eft == allow))
[matchers]
m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act
在這裡引入了role_definition
角色定義, g 用於判斷哪個使用者是否屬於哪個角色
Policy 配置:
p, alice, data1, read
p, bob, data2, write
p, data2_admin, data2, read
p, data2_admin, data2, write
g, alice, data2_admin
當我們請求 alice, data2, read
根據matchers 匹配了alice 是data2_admin角色,並且 r.obj == p.obj && r.act == p.act
所以返回true
在gin-admin專案中的使用
這裡先梳理一下作者程式碼中對casbin的使用,因為之前看了casbin在其他幾個專案中的使用,感覺都是有點亂,在在gin-admin這個專案的時候一開始也是感覺有點懵 ,沒有理解怎麼用,不過當把程式碼梳理清楚之後,感覺gin-admin作者的使用還是非常好的。
gin-admin專案中關於casbin的使用分為
- 定義CasbinAdapter
- 初始化casbin
- 非同步載入casbin許可權
定義了CasbinAdapter
作者在gin-admin/internal/module/adapter/casbin.go 中定義了CasbinAdapter:
// CasbinAdapter casbin介面卡
type CasbinAdapter struct {
RoleModel model.IRole
RoleMenuModel model.IRoleMenu
MenuResourceModel model.IMenuActionResource
UserModel model.IUser
UserRoleModel model.IUserRole
}
這裡的CasbinAdapter是實現了casbin
中的Adapter
介面,即CasbinAdapter實現了LoadPolicy,SavePolicy,AddPolicy,RemovePolicy方法,並且作者通過在LoadPolicy將使用者許可權和角色許可權從資料庫中進行載入。
初始化
許可權的初始化是通過下面程式碼:
func InitCasbin(adapter persist.Adapter) (*casbin.SyncedEnforcer, func(), error) {
cfg := config.C.Casbin
if cfg.Model == "" {
return new(casbin.SyncedEnforcer), nil, nil
}
e, err := casbin.NewSyncedEnforcer(cfg.Model)
if err != nil {
return nil, nil, err
}
e.EnableLog(cfg.Debug)
err = e.InitWithModelAndAdapter(e.GetModel(), adapter)
if err != nil {
return nil, nil, err
}
e.EnableEnforce(cfg.Enable)
cleanFunc := func() {}
if cfg.AutoLoad {
e.StartAutoLoadPolicy(time.Duration(cfg.AutoLoadInternal) * time.Second)
cleanFunc = func() {
e.StopAutoLoadPolicy()
}
}
return e, cleanFunc, nil
}
非同步載入casbin許可權
這個部分主要是當我們通過頁面進行許可權的配置後,我們需要將許可權重新進行載入,這部分程式碼在gin-admin/internal/app/bll/impl/bll/b_casbin.go中:
var chCasbinPolicy chan *chCasbinPolicyItem
type chCasbinPolicyItem struct {
ctx context.Context
e *casbin.SyncedEnforcer
}
func init() {
chCasbinPolicy = make(chan *chCasbinPolicyItem, 1)
go func() {
for item := range chCasbinPolicy {
err := item.e.LoadPolicy()
if err != nil {
logger.Errorf(item.ctx, "The load casbin policy error: %s", err.Error())
}
}
}()
}
// LoadCasbinPolicy 非同步載入casbin許可權策略
func LoadCasbinPolicy(ctx context.Context, e *casbin.SyncedEnforcer) {
if !config.C.Casbin.Enable {
return
}
if len(chCasbinPolicy) > 0 {
logger.Infof(ctx, "The load casbin policy is already in the wait queue")
return
}
chCasbinPolicy <- &chCasbinPolicyItem{
ctx: ctx,
e: e,
}
}
而在我們的更改許可權的介面中都會通過呼叫LoadCasbinPolicy將許可權策略進行載入。
總結
關於這個專案整理了三篇文章,也學習到了很多東西,其實到這篇文章,作者整體程式碼自己已經樹立清楚了,很多人會覺得作者的專案目錄過於複雜,還有一些重複程式碼,在你剛開始梳理程式碼邏輯的時候還會感到一臉懵,但是當你耐心梳理完之後,你會發現,這樣寫原來會有這樣或者那樣的好處。作者剩餘的程式碼就是關於web介面中的邏輯了,就不在做整理。
後面的計劃是通過這次對這次程式碼的學習,寫一個blog的web專案。同時也會找下一個開源專案程式碼進行學習