前言
什么是 jasbin?
概述
Casbin 是一个弱小的、高效的开源访问控制框架,其权限管理机制反对多种访问控制模型
Casbin 反对以下编程语言:
Casbin 能够:
反对自定义申请的格局,默认的申请格局为 {subject, object, action}。
具备访问控制 模型 model和 策略 policy两个外围概念。
反对 RBAC 中的多层角色继承,不止主体能够有角色,资源也能够具备角色。
反对内置的超级用户 例如:root 或 administrator。超级用户能够执行任何操作而无需显式的权限申明。
反对多种内置的操作符,如 keyMatch,不便对门路式的资源进行治理,如 /foo/bar 能够映射到 /foo*
Casbin 不能:
身份认证 authentication(即验证用户的用户名、明码),casbin 只负责访问控制。应该有其余专门的组件负责身份认证,而后由 casbin 进行访问控制,二者是相互配合的关系。
治理用户列表或角色列表。Casbin 认为由我的项目本身来治理用户、角色列表更为适合,用户通常有他们的明码,然而 Casbin 的设计思维并不是把它作为一个存储明码的容器。而是存储 RBAC 计划中用户和角色之间的映射关系。
什么是 RBAC?
基于角色的访问控制(RBAC)是施行面向企业安全策略的一种无效的访问控制形式。
其根本思维是,对系统操作的各种权限不是间接授予具体的用户,而是在用户汇合与权限汇合之间建设一个角色汇合。每一种角色对应一组相应的权限。一旦用户被调配了适当的角色后,该用户就领有此角色的所有操作权限。这样做的益处是,不用在每次创立用户时都进行调配权限的操作,只有调配用户相应的角色即可,而且角色的权限变更比用户的权限变更要少得多,这样将简化用户的权限治理,缩小零碎的开销。
如何应用 Casbin?
想要明确如何应用 casbin,必须要分明 model 和 policy 两个概念,即模型和资源,能够参考官网文档
https://casbin.org/zh-CN/ 学习。
springboot 集成 casbin
1.pom.xml 文件增加依赖
<!--jcasbin-->
<dependency>
<groupId>org.casbin</groupId>
<artifactId>jcasbin</artifactId>
<version>1.4.0</version>
</dependency>
<!--casbin 适配器(上面会概述)-->
<dependency>
<groupId>org.casbin</groupId>
<artifactId>jdbc-adapter</artifactId>
<version>2.0.0</version>
</dependency>
2. 定义 model 模型,这里是应用 RBAC+RESTFUL 进行模型的定义。
[request_definition]
r = sub, obj, act
[policy_definition]
p = sub, obj, act
[role_definition]
g = _, _
[policy_effect]
e = some(where (p.eft == allow))
[matchers]
m = g(r.sub,p.sub) && keyMatch2(r.obj, p.obj) && regexMatch(r.act, p.act)
3. 创立 casbin 适配器类,将 datasource 数据源写入 casbin 的适配器
@Slf4j
@Configuration
public class CasbinAdapterConfig {
private final DataSource dataSource;
@Autowired
public CasbinAdapterConfig(DataSource dataSource) {this.dataSource = dataSource;}
@Bean
public JDBCAdapter adapterConfig() throws Exception {return new JDBCAdapter(dataSource);
}
}
4#. 创立一个初始化的配置类,并且继承 InitializingBean 接口
InitializingBean 接口为 bean 提供了初始化办法的形式,它只包含 afterPropertiesSet 办法,但凡继承该接口的类,在初始化 bean 的时候都会执行该办法。
@Component
public class EnforcerFactory implements InitializingBean {
@Override
public void afterPropertiesSet() throws Exception {}
}
5.EnforcerFactory 配置类中加载模型和适配器
@Component
public class EnforcerFactory implements InitializingBean {
private static Enforcer enforcer;
private static final String modelpath = "model.conf";
@Override
public void afterPropertiesSet() throws Exception {ClassPathResource classPathResource = new ClassPathResource(modelpath);
enforcer = new Enforcer(classPathResource.getAbsolutePath(), jdbcAdapter);
enforcer.savePolicy();}
/**
* 是否存在命名受权规定
*
* @param sub
* @param obj
* @param act
* @return
*/
public boolean hasNamedPolicy(String sub, String obj, String act) {return enforcer.hasNamedPolicy("p", sub, obj, act);
}
/**
* 是否匹配
*
* @param match request
* @return boolean
*/
public boolean policyMatch(Object... match) {return enforcer.enforce(match);
}
/**
* 向以后策略增加角色继承规定
*
* @param request
* @return
*/
public boolean addGroupingPolicy(String... request) {boolean b = enforcer.addGroupingPolicy(request);
savePolicy();
return b;
}
/**
* 增加权限
*
* @param policy request
* @return boolean
*/
public boolean addPolicy(Policy policy) {boolean addPolicy = enforcer.addPolicy(policy.getSub(), policy.getObj(), policy.getAct());
savePolicy();
return addPolicy;
}
/**
* 删除权限
*
* @param policy request
* @return boolean
*/
public boolean removePolicy(Policy policy) {boolean removePolicy = enforcer.removePolicy(policy.getSub(), policy.getObj(), policy.getAct());
savePolicy();
return removePolicy;
}
/**
* 是否有此资源
*
* @param sub
* @param obj
* @param act
* @return
*/
public boolean hasPolicy(String sub, String obj, String act) {return enforcer.hasPolicy(sub, obj, act);
}
更多 api 请参考官网:api 文档
###6. 定义拦截器,对登录用户的权限进行拦挡,并作出校验是否有此权限。
@Component
@Slf4j
public class MvcInterceptor implements HandlerInterceptor {
private final EnforcerFactory EnforcerFactory;
private final RedisUtil redisUtil;
private final RoleService roleService;
@Autowired
public MvcInterceptor(EnforcerFactory enforcerFactory, RedisUtil redisUtil, RoleService roleService) {
EnforcerFactory = enforcerFactory;
this.redisUtil = redisUtil;
this.roleService = roleService;
}
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {String path = request.getServletPath();
String method = request.getMethod();
log.info("用户 ip:{}, 拜访门路:{}, 申请类型:{}", request.getRemoteAddr(), path, method);
Cookie[] cookies = request.getCookies();
ParamCheck.getArrayCheck(cookies, "以后用户未登陆,请从新登陆。");
// 获取登录的 cookie 对象
Optional<Cookie> first = Arrays.stream(cookies).filter(w -> w.getName().equals(UserConstants.USER_LOGIN_COOKIE)).findFirst();
// 校验是否登录
if (!first.isPresent()) {throw new BaseException("用户未登录,请从新登录");
}
// 获取到 cookie
Cookie cookie = first.get();
String key = String.format(UserConstants.USER_LOGIN_REDIS, cookie.getValue());
if (!redisUtil.hasKey(key)) {response.addCookie(CookieUtil.cleanCookie(cookie));
throw new BaseException("以后用户未登陆,请从新登陆");
}
redisUtil.expire(key, 600);
UserThreadLocal.setThreadLocal(JSON.parseObject((String) redisUtil.get(key), UserDO.class));
if (!EnforcerFactory.policyMatch(UserLocal.getRoleCode(), path, method)) {throw new BaseException("用户:" + UserLocal.getUserName() + ", 无此权限");
}
return true;
}
}