目录
- 一、PERM元模型
- 二、基础代码实现
- 步骤1.创建main.go
- 步骤2.创建model.conf
- 步骤3.创建policy.csv
- 三、role_definition 角色域的用法
- g = _, _的用法
-
- g = _, _,_的用法
-
一、PERM元模型
subject(sub访问实体),object (obj访问的资源) 和 action (act访问的方法) eft (策略结果 一般为空,默认指定allow) 还可以定义为deny
p:策略 一般存储到数据库,因为会有很多
e = some(where(p.eft = allow))
# 上面表示有任意一条 policy rule 满足, 则最终结果为 allow;p.eft它可以是allow或deny,它是可选的,默认是allow
m:匹配规则 会把r和p按照匹配原则进行匹配,从而返回匹配结果 (eft)如果不定义会返回allow 如果定义过了,会返回我们定义过的那个结果
r:请求
e:影响 这里的规定是定死的
e=some(where(p.eft==allow))这种情况下,我们的一个matchers匹配完成,得到了allow那么这条请求将被放行
e=some(where(p.eft==allow))&&!some(where(p.eft==deny)) 有一条通过并且没有一条deny
role_definition 角色域
g= _ , _ 表示以角色为基础,前者是后者的成员,拥有后者的权限
g= _ , _ , _ 表示以域为基础(多商户模式)
我定义一个策略,定义一个匹配规则,取获取通过这个请求过来的参数与策略,通过规则进行匹配,获得一个eft影响,拿到影响的结果进到影响的表达式返回一个布尔值
二、基础代码实现
步骤1.创建main.go
package main
import (
"fmt"
"github.com/casbin/casbin/v2"
)
func main() {
a, _ := gormadapter.NewAdapter("mysql", "数据库账号:数据库默吗q@tcp(127.0.0.1:3306)/casbin", true)
e, _ := casbin.NewEnforcer("./model.conf", a)
sub := "xiaoqiao"
obj := "data1"
act := "read"
ok, err := e.Enforce(sub, obj, act)
if err != nil {
fmt.Println(err)
}
if ok == true {
fmt.Println("通过")
} else {
fmt.Println("未通过")
}
}
步骤2.创建model.conf
[request_definition]
r = sub, obj, act
[policy_definition]
p = sub, obj, act
#[role_definition]
#g = _,_
[policy_effect]
e = some(where (p.eft == allow))
[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act
步骤3.创建policy.csv
p,xiaoqiao,data1,read
三、role_definition 角色域的用法
g = _, _的用法
1.model文件
[matchers]
m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act
2.policy文件
p, admin1, data, read
p, admin1, data, write
p, admin2, data, read
g, xiaoqiao, admin1
g, xiaoren, admin2
xiaoqiao拥有admin1的权限,因此可以对数据进行读和写
xiaoren拥有admin2的权限,因此只能对数据进行读
g = _, _,_的用法
1.model文件
[request_definition]
r = sub, dom, obj, act
[policy_definition]
p = sub, dom, obj, act
[role_definition]
g = _,_,_
# g2 = _,_,_ 表示用户, 角色/用户组, 域(也就是租户)
[matchers]
m = g(r.sub, p.sub, r.dom) && r.dom == p.dom && r.obj == p.obj && r.act == p.act
2.policy文件
p, admin, dom1, data1, read
p, admin, dom2, data2, read
g, xiaoqiao, admin, dom1
在dom1中,只有admin可以读取数据data1。
在dom2中,只有admin可以读取数据data2。
xiaoqiao在data1中是admin,但是在data2中不是
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
