PHP 中基於 Casbin 做 RBAC + RESTful 權限控制

原創 李否否 2019-09-06 15:05

PHP-Casbin 是一個強大的、高效的開源訪問控制框架,它支持基於各種訪問控制模型(RBAC ABAC ACL)的權限管理。

這裏使用官方提供的數據庫適配器擴展:Database adapter.

安裝

通過composer安裝:

composer require casbin/casbin
composer require casbin/database-adapter

使用 RBAC Model

model.conf 如下:

[request_definition]
r = sub, obj, act

[policy_definition]
p = sub, obj, act

#  RBAC角色繼承關係的定義
[role_definition]
g = _, _

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = g(r.sub, p.sub) && keyMatch2(r.obj, p.obj) && regexMatch(r.act, p.act)

初始化一個Casbin enforcer

use Casbin\Enforcer;
use CasbinAdapter\Database\Adapter;

$adapter = Adapter::newAdapter([
    'type'     => 'mysql', 
    'hostname' => '127.0.0.1',
    'database' => 'test',
    'username' => 'root',
]);

$enforcer = new Enforcer('path/to/model.conf', $adapter);

添加策略

給alice和bob分配角色:

// alice has the admin role
$enforcer->addRoleForUser('alice', 'admin'); 
// bob has the member role
$enforcer->addRoleForUser('bob', 'member');

給member角色分配權限,member 角色僅對foo資源有查看權限:

$enforcer->addPermissionForUser('member', '/foo', 'GET');
$enforcer->addPermissionForUser('member', '/foo/:id', 'GET');

admin角色對foo擁有增刪改查權限:

// admin inherits all permissions of member
$enforcer->addRoleForUser('admin', 'member');

$enforcer->addPermissionForUser('admin', '/foo', 'POST');
$enforcer->addPermissionForUser('admin', '/foo/:id', 'PUT');
$enforcer->addPermissionForUser('admin', '/foo/:id', 'DELETE');

分配完角色和權限後,數據庫中的策略規則大致如下:

g, alice, admin
g, bob, member

p, memeber, /foo, GET
p, memeber, /foo/:id, GET

g, admin, member

p, admin, /foo, POST
p, admin, /foo/:id, PUT
p, admin, /foo/:id, DELETE

驗證權限

alice 具有admin角色,繼承adminmember兩個角色的全部權限.

$enforcer->enforce('alice', '/foo', 'GET'); // true
$enforcer->enforce('alice', '/foo', 'GET'); // true

$enforcer->enforce('alice', '/foo', 'POST'); // true
$enforcer->enforce('alice', '/foo/1', 'PUT'); // true
$enforcer->enforce('alice', '/foo/1', 'DELETE'); // true

bob 具有member角色, 只繼承member的權限.

$enforcer->enforce('bob', '/foo', 'GET'); // true
$enforcer->enforce('bob', '/foo', 'GET'); // true

$enforcer->enforce('bob', '/foo', 'POST'); // false
$enforcer->enforce('bob', '/foo/1', 'PUT'); // false
$enforcer->enforce('bob', '/foo/1', 'DELETE'); // false

文章轉發原始鏈接:https://www.tech1024.com/collect/5/3016.html.

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Nacos 安全零信任實踐

作者:柳遵飛 Nacos 作爲配置中心經常存儲一些敏感信息,但是由於誤用導致安全風險,最常見的主要是以下兩個問題: 1)Nacos 暴露公網可以嗎?不可以,因爲 Nacos 定位是註冊配置中心,是內部系統,不應該暴露到公網使用。 2)不得已

原創 2024-04-26 21:12:11

Apache RocketMQ ACL 2.0 全新升級

作者:徒鍾 引言 RocketMQ 作爲一款流行的分佈式消息中間件,被廣泛應用於各種大型分佈式系統和微服務中,承擔着異步通信、系統解耦、削峯填谷和消息通知等重要的角色。隨着技術的演進和業務規模的擴大,安全相關的挑戰日益突出,消息系統的訪問控

原創 2024-04-26 21:12:10

如何使用Plotly和Dash進行數據可視化

本文分享自華爲雲社區《從數據到部署使用Plotly和Dash實現數據可視化與生產環境部署》,作者: 檸檬味擁抱。 數據可視化是數據分析中至關重要的一環,它能夠幫助我們更直觀地理解數據並發現隱藏的模式和趨勢。在Python中,有許多強大的工具

原創 2024-04-15 22:34:35

雲消息隊列 Confluent 版正式上線!

作者:阿里雲消息隊列 前言 在 2023 年杭州雲棲大會上,Confluent 成爲阿里雲技術合作夥伴,在此基礎上,雙方展開了深度合作,並在今天(3月1日)正式上線“雲消息隊列 Confluent 版”。 通過將 Confluent 在 A

原創 2024-03-06 21:16:50

php 主動關閉連接,並繼續執行後續程序

ob_start(); echo 'hello world'; $size_o = ob_get_length(); header("Content-Length: $size_o"); header('Connection: cl

原創 2024-04-29 00:38:29

php7.4編譯

 wget https://www.php.net/distributions/php-7.4.33.tar.gz  ./configure --prefix=/usr/local/php7.4 --with-openssl --with-

charley158 2024-04-28 23:51:42

三十分鐘入門基礎Go(Java小子版)

前言 Go語言定義 Go(又稱 Golang)是 Google 的 Robert Griesemer,Rob Pike 及 Ken Thompson 開發的一種靜態、強類型、編譯型語言。Go 語言語法與 C 相近,但功能上有:內存安

原創 2024-04-25 23:17:43

WebDriver庫:實現對音頻文件的自動下載與保存

1. 背景介紹 音頻娛樂在當今社會已經成爲了人們日常生活中不可或缺的一部分。從早晨的音樂播放到晚上的電臺節目,音頻內容貫穿了我們的整個生活。隨着互聯網的普及和技術的進步,越來越多的音頻內容通過網絡平臺進行傳播和分享。網易雲音樂作爲中國領

原創 2024-04-22 23:25:04

實操|基於OceanBase打造更穩定的Zabbix監控系統

近日,Zabbix和OceanBase成功完成了兼容認證。Zabbix支持OceanBase作爲後臺數據庫存儲配置數據和歷史數據,並且性能更優於MySQL數據庫。 Zabbix簡略系統拓撲圖: Zabbix Server和Zabbix

Zabbix中國 2024-04-17 22:13:13

搶先體驗:Zabbix 7.0全新Dashboard和MFA功能,增強可視化、安全性、靈活性!

(感謝本文作者張世宏,Zabbix開源社區專家,暱稱張思德。) Zabbix 7.0 beta2 已於2024年3月20日發佈,Zabbix 7.0 LTS預計於2024年Q2正式發佈。筆者立即下載體驗,感受是Zabbix 7.0在數據

原創 2024-04-17 22:13:12

tp5命令行報 [BadFunctionCallException] not support: redis

tp5命令行報 [BadFunctionCallException] not support: redis 芝麻開門2015 於 2018-09-30 18:29:49 發佈 閱讀量1.3w  收藏 1 點贊數 分類專欄: php 版權 p

原創 2024-04-17 00:27:13

Mac使用pecl安裝redis報錯:Warning:mkdir():File exists in System.php

在MAC下,PHP是使用brew安裝的最新版。接着安裝redis擴展。在路徑 /usr/local/Cellar/php/8.3.4/bin/ 下使用命令 pecl install redis 最後提示: Build process com

原創 2024-04-11 21:26:42

關於轉義符 \ 在php正則中的匹配問題

今天做題遇到一個很經典的問題,記錄一下,先看一段代碼 <?php $str,=,"\\"; $pattern,=,"/\\/"; if(preg_match($partern,$str,$arr)) { ,,,,echo,"suc

原創 2024-04-09 22:46:30

MySQL 主從 AUTO_INCREMENT 不一致問題分析

作者:vivo 互聯網數據庫團隊 - Wei Haodong 本文介紹了 MySQL5.7 中常見的replace into 操作造成的主從auto_increment不一致現象,一旦觸發了主從切換,業務的正常插入

原創 2024-04-07 11:24:46

2024西湖論劍-phpems-代碼審計

前言 2024西湖論劍數據安全題,太菜了當時沒看明白, 系統是phpems,修改了默認密碼,需要利用CVE登上去 CVE-2023-6654 ,菜鳥學習,大佬多指點 0x01環境搭建 https://phpems.net/index.p

原創 2024-03-25 23:38:27