面试官:说说 Casbin 配置文件里的设计哲学

开发 前端
学习 casbin 的最大拦路虎就是他的两个配置文件,很多新手完全是蒙圈的。这里我们以本地化权限控制为例,不直接上数据库化的,便于大家调试理解。

学习 casbin 的最大拦路虎就是他的两个配置文件,很多新手完全是蒙圈的。

这里我们以本地化权限控制为例,不直接上数据库化的,便于大家调试理解。

我们在使用 casbin 时需要用到两个配置文件,分别是 model.conf 和 policy.csv。

他们分别记录了,权限匹配规则也叫模型定义文件 model.conf ,以及权限列表也叫策略文件 policy.csv。

一、模型定义文件 model.conf

  1. [request_definition] 
  2. r = sub, obj, act 
  3.  
  4. [policy_definition] 
  5. p = sub, obj, act 
  6.  
  7. [role_definition] 
  8. g = _, _ 
  9.  
  10. [policy_effect] 
  11. e = some(where (p.eft == allow)) 
  12.  
  13. [matchers] 
  14. m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act 

简单解释下这些定义的意义:

[request_definition]

这是关于请求的一些定义,分别定义了:

访问实体 (Subject),访问资源 (Object) 和访问方法 (Action)

这个很好理解:我们一般描述一条请求大都会这么描述:

哪个用户用啥方法请求了某个资源

这里的:

哪个用户→就是 实体 (Subject)

啥方法→就是 访问方法 (Action)

某个资源 → 访问资源 (Object)

比如:admin 用户使用 GET 方法访问 /user/list 接口

[policy_definition]

这是是对策略的定义。

我们还有一个配置文件 policy.csv ,这里就是约束里面定义些什么字段。

我们一般描述一个权限是这样的:

谁拥有对某个资源的啥权限

这里的:

谁→就是 实体 (Subject)

啥权限→就是 访问方法 (Action)

某个资源 → 访问资源 (Object)

比如:admin 组拥有 /user/list 接口的 GET 权限

[policy_effect]

这是对策略的定义。

我们在 request_definition 和 policy_definition 定义的这些资源,怎么去匹配。

不同的需求可以写成不同的方式,这里我们写成 RBAC 权限控制的经典方案:

  1. e = some(where (p.eft == allow)) 

p.eft 代表决策结果。

其意思就是:如果存在一个匹配的策略规则就通过。

[role_definition]

这是角色的定义。

_, _ 表示角色继承关系的前项和后项,即前项继承后项角色的权限。

就像 编辑 权限只有对文章的读写权限,管理员拥有 编辑 的全部权限,这种继承关系。

[matchers]

请求和策略的匹配规则。

先来解释下:

  1. r.obj == p.obj && r.act == p.act 

这段就是在匹配的时候,请求传过来的 obj 和 我们策略组里面的 obj 要匹配到,同样是 act 也是同样。

最后来解释:

  1. g(r.sub, p.sub) 

g 所关联的是角色定义,所以他要满足我们的前项继承后项角色的权限。

二、策略文件 policy.csv

  1. p, member, /depts, GET 
  2. p, member, /depts/:id, GET 
  3.  
  4. p, admin, /depts, POST 
  5. p, admin, /depts/:id, PUT 
  6. p, admin, /depts/:id, DELETE 
  7.  
  8. g, admin, member 
  9. g, super, admin 
  10. g, lili, member 

一看到 .csv 文件,就应该能想到,他是一种特殊的文件,我们很多从数据库里面导出数据就会导出这个格式的文件。

所以这部分的内容后期也可以从数据库里面去读取。

这个文件很好理解,结合上一个模型文件:

p 是定义资源的策略的

简而言之:谁拥有对某个资源的啥权限

g 是定义权限组的

 

简而言之:谁继承谁的权限

 

责任编辑:武晓燕 来源: GoLang全栈
相关推荐

2022-01-26 00:01:00

Casbin配置权限

2023-12-27 18:16:39

MVCC隔离级别幻读

2024-05-30 08:04:20

Netty核心组件架构

2024-03-05 10:33:39

AOPSpring编程

2024-08-22 10:39:50

@Async注解代理

2024-03-11 18:18:58

项目Spring线程池

2021-08-09 07:47:40

Git面试版本

2024-09-20 08:36:43

零拷贝数据传输DMA

2024-03-22 06:56:24

零拷贝技术数据传输数据拷贝

2020-07-02 07:52:11

RedisHash映射

2024-02-20 08:13:35

类加载引用Class

2024-03-14 14:56:22

反射Java数据库连接

2021-11-25 10:18:42

RESTfulJava互联网

2024-07-31 08:28:37

DMAIOMMap

2024-08-29 16:30:27

2024-08-12 17:36:54

2024-02-29 16:49:20

volatileJava并发编程

2021-10-29 09:40:21

设计模式软件

2021-08-11 08:53:23

Git命令面试

2024-09-12 08:35:06

点赞
收藏

51CTO技术栈公众号