文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

面试官:说说 Casbin 配置文件里的设计哲学

2024-12-02 18:11

关注

学习 casbin 的最大拦路虎就是他的两个配置文件,很多新手完全是蒙圈的。

这里我们以本地化权限控制为例,不直接上数据库化的,便于大家调试理解。

我们在使用 casbin 时需要用到两个配置文件,分别是 model.conf 和 policy.csv。

他们分别记录了,权限匹配规则也叫模型定义文件 model.conf ,以及权限列表也叫策略文件 policy.csv。

一、模型定义文件 model.conf

  1. [request_definition] 
  2. r = sub, obj, act 
  3.  
  4. [policy_definition] 
  5. p = sub, obj, act 
  6.  
  7. [role_definition] 
  8. g = _, _ 
  9.  
  10. [policy_effect] 
  11. e = some(where (p.eft == allow)) 
  12.  
  13. [matchers] 
  14. m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act 

简单解释下这些定义的意义:

[request_definition]

这是关于请求的一些定义,分别定义了:

访问实体 (Subject),访问资源 (Object) 和访问方法 (Action)

这个很好理解:我们一般描述一条请求大都会这么描述:

哪个用户用啥方法请求了某个资源

这里的:

哪个用户→就是 实体 (Subject)

啥方法→就是 访问方法 (Action)

某个资源 → 访问资源 (Object)

比如:admin 用户使用 GET 方法访问 /user/list 接口

[policy_definition]

这是是对策略的定义。

我们还有一个配置文件 policy.csv ,这里就是约束里面定义些什么字段。

我们一般描述一个权限是这样的:

谁拥有对某个资源的啥权限

这里的:

谁→就是 实体 (Subject)

啥权限→就是 访问方法 (Action)

某个资源 → 访问资源 (Object)

比如:admin 组拥有 /user/list 接口的 GET 权限

[policy_effect]

这是对策略的定义。

我们在 request_definition 和 policy_definition 定义的这些资源,怎么去匹配。

不同的需求可以写成不同的方式,这里我们写成 RBAC 权限控制的经典方案:

  1. e = some(where (p.eft == allow)) 

p.eft 代表决策结果。

其意思就是:如果存在一个匹配的策略规则就通过。

[role_definition]

这是角色的定义。

_, _ 表示角色继承关系的前项和后项,即前项继承后项角色的权限。

就像 编辑 权限只有对文章的读写权限,管理员拥有 编辑 的全部权限,这种继承关系。

[matchers]

请求和策略的匹配规则。

先来解释下:

  1. r.obj == p.obj && r.act == p.act 

这段就是在匹配的时候,请求传过来的 obj 和 我们策略组里面的 obj 要匹配到,同样是 act 也是同样。

最后来解释:

  1. g(r.sub, p.sub) 

g 所关联的是角色定义,所以他要满足我们的前项继承后项角色的权限。

二、策略文件 policy.csv

  1. p, member, /depts, GET 
  2. p, member, /depts/:id, GET 
  3.  
  4. p, admin, /depts, POST 
  5. p, admin, /depts/:id, PUT 
  6. p, admin, /depts/:id, DELETE 
  7.  
  8. g, admin, member 
  9. g, super, admin 
  10. g, lili, member 

一看到 .csv 文件,就应该能想到,他是一种特殊的文件,我们很多从数据库里面导出数据就会导出这个格式的文件。

所以这部分的内容后期也可以从数据库里面去读取。

这个文件很好理解,结合上一个模型文件:

p 是定义资源的策略的

简而言之:谁拥有对某个资源的啥权限

g 是定义权限组的

 

简而言之:谁继承谁的权限

 

来源:GoLang全栈内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯