Casbin 權限管理介紹及在 Go 語言中的使用入門

引言

在現代軟件開發過程中，權限管理是一個至關重要的環節，它關系到系統的安全性和用戶體驗。Casbin 是一個強大的訪問控制庫，支持多種訪問控制模型，如 ACL（訪問控制列表）、RBAC（基于角色的訪問控制）、ABAC（基于屬性的訪問控制）等。Casbin 可以方便地集成到各種應用中，提供靈活的權限定義和管理機制。

本文將重點介紹 Casbin 在 Go 語言中的使用，并結合前面提到的配置信息，幫助大家快速入門。

安裝 Casbin

首先，我們需要在 Go 項目中安裝 Casbin。可以通過 go get 命令來安裝：

go get github.com/casbin/casbin/v2

基本概念

在 Casbin 中，權限管理的核心模型由請求定義、策略定義、策略效果和匹配器四部分組成。下面逐一解釋這些概念。

請求定義（Request Definition）

請求定義描述了訪問請求的結構。最常見的是 r = sub, obj, act，其中：

sub：表示請求發起的主體（通常是用戶或服務）。
obj：表示請求要訪問的對象（比如文件、API 等）。
act：表示主體對對象執行的操作（比如讀取、寫入、刪除等）。

例如，r = sub, obj, act 表示一個請求由發起主體、操作對象和操作類型組成。

策略定義（Policy Definition）

策略定義描述了權限策略的結構。同樣常見的結構是 p = sub, obj, act，其中：

sub：表示策略中的主體。
obj：表示策略中的對象。
act：表示策略中的操作類型。

策略定義與請求定義的結構保持一致，便于匹配。

策略效果（Policy Effect）

策略效果定義了如何合并多個匹配的策略規則來決定最終的訪問結果。常見的策略效果有：

e = some(where (p.eft == allow))：只要有一個策略規則允許，則允許訪問。
e = !some(where (p.eft == deny))：如果沒有一個策略規則拒絕，則允許訪問。
e = all(where (p.eft == allow))：所有的策略規則都允許，才允許訪問。

在以下配置中：

e = some(where (p.eft == allow)) 表示只要有一個策略規則允許訪問，就允許訪問。

匹配器（Matchers）

匹配器定義了如何將請求與策略規則進行匹配。常見的匹配器有：

r.sub == p.sub && r.obj == p.obj && r.act == p.act：完全匹配。
r.sub == p.sub && keyMatch(r.obj, p.obj) && regexMatch(r.act, p.act)：部分匹配，其中 keyMatch 用于字符串前綴匹配，regexMatch 用于正則表達式匹配。

在以下配置中：

r.sub == p.sub && keyMatch(r.obj, p.obj) && regexMatch(r.act, p.act) || r.sub == "root" 表示主體與策略主體相匹配，且對象通過前綴匹配，操作通過正則表達式匹配，或者主體是 root 時允許訪問。

配置文件詳解

Casbin 使用配置文件來定義具體的訪問控制模型。一個典型的配置文件如下：

[request_definition]
r = sub, obj, act[policy_definition]
p = sub, obj, act[policy_effect]
e = some(where (p.eft == allow))[matchers]
r.sub == p.sub && keyMatch(r.obj, p.obj) && regexMatch(r.act, p.act) || r.sub == "root"

請求定義：r = sub, obj, act 表示請求由主體、對象和操作組成。
策略定義：p = sub, obj, act 表示策略由主體、對象和操作組成。
策略效果：e = some(where (p.eft == allow)) 表示只要有一個策略規則允許訪問，就允許訪問。
匹配器：r.sub == p.sub && keyMatch(r.obj, p.obj) && regexMatch(r.act, p.act) || r.sub == "root" 表示主體與策略主體相匹配，且對象通過前綴匹配，操作通過正則表達式匹配，或者主體是 root 時允許訪問。

在 Gin 框架中使用 Casbin

下面是一個簡單的例子，介紹如何在 Gin 框架中集成 Casbin 進行權限管理。

1. 安裝依賴

go get github.com/casbin/casbin/v2
go get github.com/gin-gonic/gin

2. 初始化 Casbin

創建一個 casbin_model.conf 文件，內容如下：

[request_definition]
r = sub, obj, act[policy_definition]
p = sub, obj, act[policy_effect]
e = some(where (p.eft == allow))[matchers]
r.sub == p.sub && keyMatch(r.obj, p.obj) && regexMatch(r.act, p.act) || r.sub == "root"

創建一個 casbin_policy.csv 文件，內容如下：

p, alice, /api/data, GET
p, bob, /api/data, POST
p, admin, /api/*, (GET)|(POST)|(DELETE)

3. 編寫 Gin 代碼

使用csv文件存儲權限配置。

package mainimport ("github.com/casbin/casbin/v2""github.com/casbin/casbin/v2/model""github.com/gin-gonic/gin""net/http"
)func main() {// 加載模型和策略文件m, _ := model.NewModelFromFile("casbin_model.conf")e, _ := casbin.NewEnforcer(m, "casbin_policy.csv")// 創建 Gin 引擎r := gin.Default()// 權限驗證中間件authMiddleware := func(c *gin.Context) {sub := c.GetHeader("X-User")   // 從請求頭中獲取用戶信息obj := c.Request.URL.Path     // 獲取請求路徑act := c.Request.Method       // 獲取請求方法if !e.Enforce(sub, obj, act) {c.JSON(http.StatusForbidden, gin.H{"error": "forbidden"})c.Abort()}}// 定義路由r.GET("/api/data", authMiddleware, func(c *gin.Context) {c.JSON(http.StatusOK, gin.H{"data": "Here is your data"})})r.POST("/api/data", authMiddleware, func(c *gin.Context) {c.JSON(http.StatusOK, gin.H{"message": "Data created successfully"})})// 啟動服務r.Run(":8080")
}

4. 使用 GORM 適配器初始化 Casbin

上述示例，創建一個 casbin_policy.csv 文件的方式編輯權限不方便使用。一般會把權限配置在數據庫中方便管理。

GORM 是一個功能強大的 Go 語言 ORM（對象關系映射）庫，可以簡化數據庫操作，使開發者能夠更專注于業務邏輯。GORM Casbin 適配器允許你將 Casbin 的策略存儲在數據庫中，通過 GORM 進行操作，從而實現更復雜的權限管理。
下面介紹 GORM 的基本使用方法及其在 Casbin 中的適配器。

GORM適配器是什么？

GORM適配器是Casbin與GORM（Go語言的ORM庫）之間的橋梁，允許你將Casbin的策略存儲在支持GORM的數據庫中，比如MySQL、PostgreSQL、SQLite等，而不是默認的CSV文件。GORM（Go Object Relational Mapping）是一個用于Go程序的ORM庫，它使得數據庫操作更加簡便和類型安全。

GORM適配器做什么用？

GORM適配器的主要用途是將Casbin的策略存儲在數據庫中，從而提供更持久化、可擴展的權限管理解決方案。使用GORM適配器可以帶來以下好處：

持久化存儲：策略可以存儲在數據庫中，即使應用重啟，策略依然存在。
可擴展性：使用數據庫可以存儲大量的策略規則，處理復雜的權限邏輯。
靈活性：可以通過數據庫查詢、更新策略規則，而不是手動編輯CSV文件。
事務支持：在更新策略時，可以利用數據庫的事務機制，確保數據的一致性和完整性。

如何在Casbin中使用GORM適配器？

首先，你需要安裝GORM適配器。你可以使用以下命令來安裝：

go get github.com/casbin/gorm-adapter/v2

接下來，你需要修改之前的代碼，以支持GORM適配器。假設你使用的是MySQL數據庫，以下是具體步驟：

1. 安裝GORM和MySQL驅動

go get -u gorm.io/gorm
go get -u gorm.io/driver/mysql

2. 修改初始化Casbin的部分

package mainimport ("gorm.io/driver/mysql""gorm.io/gorm""github.com/casbin/casbin/v2""github.com/casbin/gorm-adapter/v2""github.com/gin-gonic/gin""net/http"
)func main() {// 連接數據庫dsn := "user:password@tcp(127.0.0.1:3306)/dbname?charset=utf8mb4&parseTime=True&loc=Local"db, err := gorm.Open(mysql.Open(dsn), &gorm.Config{})if err != nil {panic(err)}// 初始化GORM適配器a, err := gormadapter.NewAdapter(db) // db is your GORM databaseif err != nil {panic(err)}// 加載模型和策略文件m, _ := model.NewModelFromFile("casbin_model.conf")e, _ := casbin.NewEnforcer(m, a)// 添加策略e.AddPolicy("alice", "/api/data", "GET")e.AddPolicy("bob", "/api/data", "POST")e.AddPolicy("admin", "/api/*", "(GET)|(POST)|(DELETE)")// 自動遷移模式a.CreateTables()// 或者從 CSV 文件加載策略// e.LoadPolicyFile("casbin_policy.csv")// 創建 Gin 引擎r := gin.Default()// 權限驗證中間件authMiddleware := func(c *gin.Context) {sub := c.GetHeader("X-User")   // 從請求頭中獲取用戶信息obj := c.Request.URL.Path     // 獲取請求路徑act := c.Request.Method       // 獲取請求方法if !e.Enforce(sub, obj, act) {c.JSON(http.StatusForbidden, gin.H{"error": "forbidden"})c.Abort()}}// 定義路由r.GET("/api/data", authMiddleware, func(c *gin.Context) {c.JSON(http.StatusOK, gin.H{"data": "Here is your data"})})r.POST("/api/data", authMiddleware, func(c *gin.Context) {c.JSON(http.StatusOK, gin.H{"message": "Data created successfully"})})// 啟動服務r.Run(":8080")
}

5. 測試接口

使用 curl 或 Postman 等工具發送請求。
通過設置不同的請求頭中的 X-User 值來測試不同的用戶權限。

curl -H "X-User: alice" http://localhost:8080/api/data
curl -H "X-User: bob" -X POST http://localhost:8080/api/data
curl -H "X-User: admin" -X DELETE http://localhost:8080/api/data