Apache Casbin
https://casbin.org/
A powerful and efficient open-source access control library that supports multiple authorization models
https://awesometop.cn/posts/d481343aa8ce4b7fb80cdf231b7264fd
在现代软件系统开发中,访问控制是保障系统安全的重要组成部分。随着应用系统的规模和复杂度不断增加,传统的访问控制方式已难以满足多样化的权限管理需求。Casbin作为一款强大灵活的开源访问控制框架,为开发者提供了统一的权限管理解决方案,支持多种访问控制模型,能够轻松应对复杂多变的权限管理场景。接下来,我们将深入了解Casbin的各个方面,掌握其核心功能与使用方法。
一、Casbin核心概念解析
Casbin作为一款开源的访问控制框架,其核心概念围绕权限管理的基本要素展开。它通过统一的模型定义、灵活的策略配置和高效的访问控制决策,为应用系统提供全方位的权限管理支持。
(一)核心组件
Casbin的核心组件包括Enforcer、Model和Policy。Enforcer是Casbin的执行器,负责实际的权限判断和执行。它接收请求参数,根据预定义的模型和策略进行评估,最终返回访问是否被允许的结果。Model定义了访问控制的规则和逻辑,它使用一种特定的语法来描述权限模型,如RBAC(基于角色的访问控制)、ABAC(基于属性的访问控制)等。Policy则是具体的权限规则集合,它以某种存储形式(如文件、数据库等)存在,定义了谁(Subject)可以对什么(Object)进行何种操作(Action)。
(二)访问控制模型
Casbin支持多种访问控制模型,其中最常用的包括RBAC、ABAC和ACL(访问控制列表)。RBAC模型通过角色来管理权限,用户被分配到不同的角色,角色拥有相应的权限。这种模型简化了权限管理,适合大型组织的权限管理需求。ABAC模型则基于属性进行访问控制决策,这些属性可以是用户的属性(如年龄、职位)、资源的属性(如类型、敏感级别)以及环境的属性(如时间、IP地址)等。ABAC模型具有很高的灵活性,能够适应复杂多变的权限管理场景。ACL模型是最基础的访问控制模型,它直接为每个用户或用户组分配对特定资源的访问权限。
(三)请求与响应
在Casbin中,权限请求是一个包含多个参数的元组,通常包括主体(Subject)、对象(Object)和动作(Action)。例如,一个请求可能表示“用户Alice是否可以读取文件test.txt”。Enforcer接收这个请求后,会根据预定义的模型和策略进行评估,并返回一个布尔值,表示请求是否被允许。除了基本的三元组请求,Casbin还支持更复杂的请求格式,如添加环境参数等,以满足ABAC模型的需求。
(四)适配器与存储
Casbin的适配器负责与不同的存储系统进行交互,实现策略的加载和保存。Casbin提供了多种内置适配器,支持文件、数据库(如MySQL、PostgreSQL、MongoDB等)、Redis等存储系统。开发者也可以根据需要自定义适配器,以支持特定的存储需求。通过适配器,Casbin能够将策略持久化到不同的存储介质中,并在需要时快速加载,确保权限管理的高效性和可靠性。
https://github.com/casbin/pycasbin?tab=readme-ov-file
https://github.com/fanqingsong/Sakura_Mini_Admin/tree/main/back
https://github.com/fanqingsong/MiniAdmin
https://github.com/pycasbin/fastapi-authz/blob/master/examples/rbac_policy.csv