快捷導(dǎo)航

Go語言中的訪問權(quán)限控制

更新時間：2024年08月10日 11:20:50 作者：WBOY

在?go?中進行權(quán)限管理時,推薦使用?grouper、casbin?和?sentry?框架,grouper?適合基于角色的訪問控制,casbin?提供高級?rbac?功能,而?sentry?提供云托管權(quán)限服務(wù)和豐富的功能集,包括多因素認證和活動審核,這些框架有助于在電子商務(wù)網(wǎng)站等實際場景中實施細粒度的訪問控制

在 go 中進行權(quán)限管理時，推薦使用 grouper、casbin 和 sentry 框架。grouper 適合基于角色的訪問控制，casbin 提供高級 rbac 功能，而 sentry 提供云托管權(quán)限服務(wù)和豐富的功能集，包括多因素認證和活動審核。這些框架有助于在電子商務(wù)網(wǎng)站等實際場景中實施細粒度的訪問控制，例如為用戶授予對特定產(chǎn)品類別的訪問權(quán)限。

Go框架中的權(quán)限管理

權(quán)限管理對于保護敏感數(shù)據(jù)和實現(xiàn)細粒度的訪問控制至關(guān)重要。在 Go 中，有幾個框架可以簡化權(quán)限管理任務(wù)：

1. Grouper

Grouper 是一個基于角色的訪問控制（RBAC）框架，它允許您輕松創(chuàng)建角色和分配權(quán)限。

import (
    "github.com/grouper/grouper"
)
func main() {
    // 創(chuàng)建一個角色
    role := grouper.NewRole("admin")
    // 添加權(quán)限
    role.Allow("read", "data")
    role.Allow("write", "data")
    // 創(chuàng)建一個用戶
    user := grouper.NewUser("john")
    // 分配角色
    user.AddRole(role)
    // 檢查用戶是否有訪問權(quán)限
    if user.HasPermission("read", "data") {
        // 授予訪問權(quán)限
    } else {
        // 拒絕訪問權(quán)限
    }
}

2. Casbin

Casbin 是另一個流行的 RBAC 框架，具有豐富的功能集，包括多繼承和條件權(quán)限。

import (
    "github.com/casbin/casbin"
)
func main() {
    // 創(chuàng)建一個執(zhí)行器
    enforcer := casbin.NewEnforcer("model.conf", "policy.csv")
    // 檢查用戶是否有訪問權(quán)限
    if enforcer.Enforce("john", "data", "read") {
        // 授予訪問權(quán)限
    } else {
        // 拒絕訪問權(quán)限
    }
}

3. Sentry

Sentry 是一個云托管權(quán)限服務(wù)，提供高級權(quán)限管理功能，例如多因素身份驗證和活動審計。

import (
    "github.com/getsentry/sentry-go"
)
func main() {
    // 連接到 Sentry
    _ = sentry.Init(sentry.ClientOptions{})
    // 向 Sentry 事件添加用戶上下文
    sentry.CaptureEvent(&sentry.Event{
        User: &sentry.User{
            ID:       "john",
            Username: "john@example.com",
        },
    })
}

案例：Casbin實現(xiàn)RBAC和功能權(quán)限

1.安裝

go get github.com/casbin/casbin/v2

2.編寫brace_model.conf

[request_definition]
r = sub, obj, act

[policy_definition]
p = sub, obj, act

[role_definition]
g = _, _

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act

Model語法

Model CONF 至少應(yīng)包含四個部分: [request_definition], [policy_definition], [policy_effect], [matchers]。

如果 model 使用 RBAC, 還需要添加[role_definition]部分。

Model CONF 文件可以包含注釋。注釋以 # 開頭， # 會注釋該行剩余部分。

sub, obj, act 表示經(jīng)典三元組: 訪問實體 (Subject)，訪問資源 (Object) 和訪問方法 (Action)。但是, 你可以自定義你自己的請求表單, 如果不需要指定特定資源，則可以這樣定義 sub、act ，或者如果有兩個訪問實體, 則為 sub、sub2、obj、act?？梢园裺ub當作用戶角色, obj為資源對象(比如api路徑), act當作請求行為方法（比如get 和 post等）

3.連接mysql

adapter := xormadapter.NewAdapter("mysql", "root:123456@tcp(127.0.0.1:3306)/demo?charset=utf8mb4", true)
    enforcer := casbin.NewEnforcer("./rbac_models.conf", adapter)
    err := enforcer.LoadPolicy()
    if err != nil {
        logger.RLog.Error("enforcer load policy err", zap.Error(err))
    }

4.添加權(quán)限

if ok := enforcer.AddPolicy(roleName, url, method); !ok {
  log.Fatal("添加權(quán)限失敗")
} else {
  log.Fatal("添加權(quán)限成功")
}

5.刪除權(quán)限

if ok := enforcer.RemovePolicy(roleName, url, method); !ok {
  log.Fatal("刪除權(quán)限失敗")
} else {
  log.Fatal("刪除權(quán)限成功")
}

6.中間件校驗權(quán)限

func CheckPermission() echo.MiddlewareFunc {
    return func(handlerFunc echo.HandlerFunc) echo.HandlerFunc {
        return func(c echo.Context) error {
            obj := c.Request().URL.RequestURI()
            act := c.Request().Method
            sub := "admin"

            if ok := _casbin.Enforcer.Enforce(sub, obj, act); !ok {
                return c.JSON(http.StatusOK, _auth.PermissionInterception)
            }
            return handlerFunc(c)
        }
    }
}