PHP 中基於 Casbin 做 RBAC + RESTful 權限控制

本文轉載自查看原文 2019-10-31 16:33 578 rbac/ php/ acl/ casbin/ abac/ access-control

PHP-Casbin 是一個強大的、高效的開源訪問控制框架，它支持基於各種訪問控制模型（RBAC ABAC ACL）的權限管理。

這里使用官方提供的數據庫適配器擴展：Database adapter.

安裝

通過composer安裝：

composer require casbin/casbin
composer require casbin/dbal-adapter

使用 RBAC Model

model.conf 如下:

[request_definition]
r = sub, obj, act

[policy_definition]
p = sub, obj, act

#  RBAC角色繼承關系的定義
[role_definition]
g = _, _

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = g(r.sub, p.sub) && keyMatch2(r.obj, p.obj) && regexMatch(r.act, p.act)

初始化一個Casbin enforcer

use Casbin\Enforcer;
use CasbinAdapter\DBAL\Adapter;

$adapter = Adapter::newAdapter([
    'driver' => 'pdo_mysql',
    'host' => '127.0.0.1',
    'dbname' => 'test',
    'user' => 'root',
    'password' => '',
    'port' => '3306',
]);

$enforcer = new Enforcer('path/to/model.conf', $adapter);

添加策略

給alice和bob分配角色：

// alice has the admin role
$enforcer->addRoleForUser('alice', 'admin'); 
// bob has the member role
$enforcer->addRoleForUser('bob', 'member');

給member角色分配權限，member 角色僅對foo資源有查看權限:

$enforcer->addPermissionForUser('member', '/foo', 'GET');
$enforcer->addPermissionForUser('member', '/foo/:id', 'GET');

admin角色對foo擁有增刪改查權限：

// admin inherits all permissions of member
$enforcer->addRoleForUser('admin', 'member');

$enforcer->addPermissionForUser('admin', '/foo', 'POST');
$enforcer->addPermissionForUser('admin', '/foo/:id', 'PUT');
$enforcer->addPermissionForUser('admin', '/foo/:id', 'DELETE');

分配完角色和權限后，數據庫中的策略規則大致如下：

g, alice, admin
g, bob, member

p, memeber, /foo, GET
p, memeber, /foo/:id, GET

g, admin, member

p, admin, /foo, POST
p, admin, /foo/:id, PUT
p, admin, /foo/:id, DELETE

驗證權限

alice 具有admin角色，繼承admin和member兩個角色的全部權限.

$enforcer->enforce('alice', '/foo', 'GET'); // true
$enforcer->enforce('alice', '/foo', 'GET'); // true

$enforcer->enforce('alice', '/foo', 'POST'); // true
$enforcer->enforce('alice', '/foo/1', 'PUT'); // true
$enforcer->enforce('alice', '/foo/1', 'DELETE'); // true

bob 具有member角色, 只繼承member的權限.

$enforcer->enforce('bob', '/foo', 'GET'); // true
$enforcer->enforce('bob', '/foo', 'GET'); // true

$enforcer->enforce('bob', '/foo', 'POST'); // false
$enforcer->enforce('bob', '/foo/1', 'PUT'); // false
$enforcer->enforce('bob', '/foo/1', 'DELETE'); // false

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 如何理解Casbin的權限控制 RBAC權限控制 php : RBAC 基於角色的用戶權限控制-表參考 php之人員的權限管理（RBAC） php人員權限管理(RBAC) rbac（基於角色權限控制）-------權限管理 go語言web開發系列之十一:gin框架通過casbin實現rbac權限設計(csv存儲) phpcms中的RBAC權限系統 kubernetes Dashboard 使用RBAC 權限認證控制基於RBAC的權限控制淺析（結合Spring Security）