Node Casbin 介紹

vhhsbn發表於2020-08-16

概述

Casbin 是一個強大的、高效的開源訪問控制框架,其許可權管理機制支援多種訪問控制模型。

Casbin 是什麼?

Casbin 可以:
  • 支援自定義請求的格式,預設的請求格式為{subject, object, action}。
  • 具有訪問控制模型model和策略policy兩個核心概念。
  • 支援RBAC中的多層角色繼承,不止主體可以有角色,資源也可以具有角色。
  • 支援超級使用者,如 root 或 Administrator,超級使用者可以不受授權策略的約束訪問任意資源。
  • 支援多種內建的操作符,如 keyMatch,方便對路徑式的資源進行管理,如 /foo/bar 可以對映到 /foo*
Casbin 不能:
  • 身份認證 authentication(即驗證使用者的使用者名稱、密碼),casbin只負責訪問控制。應該有其他專門的元件負責身份認證,然後由casbin進行訪問控制,二者是相互配合的關係。
  • 管理使用者列表或角色列表。 Casbin 認為由專案自身來管理使用者、角色列表更為合適, 使用者通常有他們的密碼,但是 Casbin 的設計思想並不是把它作為一個儲存密碼的容器。 而是儲存RBAC方案中使用者和角色之間的對映關係。

文件

casbin.org/docs/en/overview

安裝

# NPM
npm install casbin --save

# Yarn
yarn add casbin

開始吧

建立 Casbin enforcer 需要一個模型檔案和策略檔案作為引數:

import { newEnforcer } from 'casbin';
const enforcer = await newEnforcer('basic_model.conf', 'basic_policy.csv');

您也可以用 DB 而不是檔案中的策略來初始化 enforcer,詳情請參閱 介面卡

const sub = 'alice'; // 想要訪問資源的使用者。
const obj = 'data1'; // 將要訪問的資源。
const act = 'read'; // 使用者對資源執行的操作。

const res = await enforcer.enforce(sub, obj, act);
if (res) {
  // 允許 alice 讀取資料1
} else {
  // 拒絕請求,顯示錯誤
}

除了靜態策略檔案外,node-casbin 還提供了用於在執行時進行許可權管理的API,例如,您可以獲得如下分配給使用者的所有角色:

const roles = await enforcer.getRolesForUser('alice');

請參閱 Management API and RBAC API 以獲取更多使用方式。

工作原理

在 Casbin 中, 訪問控制模型被抽象為基於 PERM (Policy, Effect, Request, Matcher) 的一個檔案。 因此,切換或升級專案的授權機制與修改配置一樣簡單。 您可以通過組合可用的模型來定製您自己的訪問控制模型。 例如,您可以在一個model中獲得RBAC角色和ABAC屬性,並共享一組policy規則。

Casbin中最基本、最簡單的model是ACL。ACL中的model CONF為:

# Request definition
[request_definition]
r = sub, obj, act

# Policy definition
[policy_definition]
p = sub, obj, act

# Policy effect
[policy_effect]
e = some(where (p.eft == allow))

# Matchers
[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

ACL model的示例policy如下:

p, alice, data1, read
p, bob, data2, write

這表示:

  • alice可以讀取data1
  • bob可以編寫data2
    對於過長的單行配置,您也可以通過在結尾處新增’'進行斷行:
# Matchers
[matchers]
m = r.sub == p.sub && r.obj == p.obj \ 
  && r.act == p.act

此外,對於 ABAC,您在可以在 Casbin golang 版本中嘗試下面的 (jCasbin 和 Node-Casbin 尚不支援)操作:

# Matchers
[matchers]
m = r.obj == p.obj && r.act == p.act || r.obj in ('data2', 'data3')

但是你應確保陣列的長度大於 1,否則的話將會導致 panic 。

對於更多操作,你可以檢視 govaluate

本作品採用《CC 協議》,轉載必須註明作者和本文連結

相關文章