Golang Gin/Ace/Iris/Echo RBAC 鉴权库
GRBAC
项目地址: https://github.com/storyicon/grbac
Grbac是一个快速,优雅和简洁的RBAC框架。它支持增强的通配符并使用Radix树匹配HTTP请求。令人惊奇的是,您可以在任何现有的数据库和数据结构中轻松使用它。
grbac的作用是确保指定的资源只能由指定的角色访问。请注意,grbac不负责存储鉴权规则和分辨“当前请求发起者具有哪些角色”,更不负责角色的创建、分配等。这意味着您应该首先配置规则信息,并提供每个请求的发起者具有的角色。
grbac将Host
、Path
和Method
的组合视为Resource
,并将Resource
绑定到一组角色规则(称为Permission
)。只有符合这些规则的用户才能访问相应的Resource
。
读取鉴权规则的组件称为Loader
。grbac预置了一些Loader
,你也可以通过实现func()(grbac.Rules,error)
来根据你的设计来自定义Loader
,并通过grbac.WithLoader
加载它。
1. 最常见的用例
下面是最常见的用例,它使用gin
,并将grbac
包装成了一个中间件。通过这个例子,你可以很容易地知道如何在其他http框架中使用grbac
(比如echo
,iris
,ace
等):
package main import ( "github.com/gin-gonic/gin" "github.com/storyicon/grbac" "net/http" "time" ) func LoadAuthorizationRules() (rules grbac.Rules, err error) { // 在这里实现你的逻辑 // ... // 你可以从数据库或文件加载授权规则 // 但是你需要以 grbac.Rules 的格式返回你的身份验证规则 // 提示:你还可以将此函数绑定到golang结构体 return } func QueryRolesByHeaders(header http.Header) (roles []string,err error){ // 在这里实现你的逻辑 // ... // 这个逻辑可能是从请求的Headers中获取token,并且根据token从数据库中查询用户的相应角色。 return roles, err } func Authorization() gin.HandlerFunc { // 在这里,我们通过“grbac.WithLoader”接口使用自定义Loader功能 // 并指定应每分钟调用一次LoadAuthorizationRules函数以获取最新的身份验证规则。 // Grbac还提供一些现成的Loader: // grbac.WithYAML // grbac.WithRules // grbac.WithJSON // ... rbac, err := grbac.New(grbac.WithLoader(LoadAuthorizationRules, time.Minute)) if err != nil { panic(err) } return func(c *gin.Context) { roles, err := QueryRolesByHeaders(c.Request.Header) if err != nil { c.AbortWithError(http.StatusInternalServerError, err) return } state, _ := rbac.IsRequestGranted(c.Request, roles) if !state.IsGranted() { c.AbortWithStatus(http.StatusUnauthorized) return } } } func main(){ c := gin.New() c.Use(Authorization()) // 在这里通过c.Get、c.Post等函数绑定你的API // ... c.Run(":8080") }
2. 概念
这里有一些关于grbac
的概念。这很简单,你可能只需要三分钟就能理解。
2.1. Rule
// Rule即规则,用于定义Resource和Permission之间的关系 type Rule struct { // ID决定了Rule的优先级。 // ID值越大意味着Rule的优先级越高。 // 当请求被多个规则同时匹配时,grbac将仅使用具有最高ID值的规则。 // 如果有多个规则同时具有最大的ID,则将随机使用其中一个规则。 ID int `json:"id"` *Resource *Permission }
如你所见,Rule
由三部分组成:ID
,Resource
和Permission
。
“ID”确定规则的优先级。
当请求同时满足多个规则时(例如在通配符中),grbac
将选择具有最高ID的那个,然后使用其权限定义进行身份验证。
如果有多个规则同时具有最大的ID,则将随机使用其中一个规则(所以请避免这种情况)。
下面有一个非常简单的例子:
#Rule - id: 0 # Resource host: "*" path: "**" method: "*" # Permission authorized_roles: - "*" forbidden_roles: [] allow_anyone: false #Rule - id: 1 # Resource host: domain.com path: "/article" method: "{DELETE,POST,PUT}" # Permission authorized_roles: - editor forbidden_roles: [] allow_anyone: false
在以yaml格式编写的此配置文件中,ID=0 的规则表明任何具有任何角色的人都可以访问所有资源。
但是ID=1的规则表明只有editor
可以对文章进行增删改操作。
这样,除了文章的操作只能由editor
访问之外,任何具有任何角色的人都可以访问所有其他资源。
2.2. Resource
type Resource struct { // Host 定义资源的Host,允许使用增强的通配符。 Host string `json:"host"` // Path 定义资源的Path,允许使用增强的通配符。 Path string `json:"path"` // Method 定义资源的Method,允许使用增强的通配符。 Method string `json:"method"` }
Resource用于描述Rule适用的资源。
当执行IsRequestGranted(c.Request,roles)
时,grbac首先将当前的Request
与所有Rule
中的Resources
匹配。
Resource的每个字段都支持增强的通配符
2.3. Permission
// Permission用于定义权限控制信息 type Permission struct { // AuthorizedRoles定义允许访问资源的角色 // 支持的类型: 非空字符串,* // *: 意味着任何角色,但访问者应该至少有一个角色, // 非空字符串:指定的角色 AuthorizedRoles []string `json:"authorized_roles"` // ForbiddenRoles 定义不允许访问指定资源的角色 // ForbiddenRoles 优先级高于AuthorizedRoles // 支持的类型:非空字符串,* // *: 意味着任何角色,但访问者应该至少有一个角色, // 非空字符串:指定的角色 // ForbiddenRoles []string `json:"forbidden_roles"` // AllowAnyone的优先级高于 ForbiddenRoles、AuthorizedRoles // 如果设置为true,任何人都可以通过验证。 // 请注意,这将包括“没有角色的人”。 AllowAnyone bool `json:"allow_anyone"` }
“Permission”用于定义绑定到的“Resource”的授权规则。
这是易于理解的,当请求者的角色符合“Permission”的定义时,他将被允许访问Resource,否则他将被拒绝访问。
为了加快验证的速度,Permission
中的字段不支持“增强的通配符”。
在AuthorizedRoles
和ForbiddenRoles
中只允许*
表示所有。
2.4. Loader
Loader用于加载Rule。 grbac预置了一些加载器,你也可以通过实现func()(grbac.Rules, error)
来自定义加载器并通过 grbac.WithLoader
加载它。
method | description |
---|---|
WithJSON(path, interval) | 定期从json 文件加载规则配置 |
WithYaml(path, interval) | 定期从yaml 文件加载规则配置 |
WithRules(Rules) | 从grbac.Rules 加载规则配置 |
WithAdvancedRules(loader.AdvancedRules) | 以一种更紧凑的方式定义Rule,并使用loader.AdvancedRules 加载 |
WithLoader(loader func()(Rules, error), interval) | 使用自定义函数定期加载规则 |
interval
定义了Rules的重载周期。
当interval <0
时,grbac
会放弃周期加载Rules配置;
当interval∈[0,1s)
时,grbac
会自动将interval
设置为5s
;
3. 其他例子
这里有一些简单的例子,可以让你更容易理解grbac
的工作原理。
虽然grbac
在大多数http框架中运行良好,但很抱歉我现在只使用gin,所以如果下面的例子中有一些缺陷,请告诉我。
3.1. gin && grbac.WithJSON
如果你想在JSON
文件中编写配置文件,你可以通过grbac.WithJSON(filepath,interval)
加载它,filepath
是你的json文件路径,并且grbac将每隔interval重新加载一次文件。 。
[ { "id": 0, "host": "*", "path": "**", "method": "*", "authorized_roles": [ "*" ], "forbidden_roles": [ "black_user" ], "allow_anyone": false }, { "id":1, "host": "domain.com", "path": "/article", "method": "{DELETE,POST,PUT}", "authorized_roles": ["editor"], "forbidden_roles": [], "allow_anyone": false } ]
以上是“JSON”格式的身份验证规则示例。它的结构基于grbac.Rules。
func QueryRolesByHeaders(header http.Header) (roles []string,err error){ // 在这里实现你的逻辑 // ... // 这个逻辑可能是从请求的Headers中获取token,并且根据token从数据库中查询用户的相应角色。 return roles, err } func Authentication() gin.HandlerFunc { rbac, err := grbac.New(grbac.WithJSON("config.json", time.Minute * 10)) if err != nil { panic(err) } return func(c *gin.Context) { roles, err := QueryRolesByHeaders(c.Request.Header) if err != nil { c.AbortWithError(http.StatusInternalServerError, err) return } state, err := rbac.IsRequestGranted(c.Request, roles) if err != nil { c.AbortWithStatus(http.StatusInternalServerError) return } if !state.IsGranted() { c.AbortWithStatus(http.StatusInternalServerError) return } } } func main(){ c := gin.New() c.Use(Authentication()) // 在这里通过c.Get、c.Post等函数绑定你的API // ... c.Run(":8080") }
3.2. echo && grbac.WithYaml
如果你想在YAML
文件中编写配置文件,你可以通过grbac.WithYAML(file,interval)
加载它,file
是你的yaml文件路径,并且grbac将每隔一个interval重新加载一次文件。
#Rule - id: 0 # Resource host: "*" path: "**" method: "*" # Permission authorized_roles: - "*" forbidden_roles: [] allow_anyone: false #Rule - id: 1 # Resource host: domain.com path: "/article" method: "{DELETE,POST,PUT}" # Permission authorized_roles: - editor forbidden_roles: [] allow_anyone: false
以上是“YAML”格式的认证规则的示例。它的结构基于grbac.Rules。
func QueryRolesByHeaders(header http.Header) (roles []string,err error){ // 在这里实现你的逻辑 // ... // 这个逻辑可能是从请求的Headers中获取token,并且根据token从数据库中查询用户的相应角色。 return roles, err } func Authentication() echo.MiddlewareFunc { rbac, err := grbac.New(grbac.WithYAML("config.yaml", time.Minute * 10)) if err != nil { panic(err) } return func(echo.HandlerFunc) echo.HandlerFunc { return func(c echo.Context) error { roles, err := QueryRolesByHeaders(c.Request().Header) if err != nil { c.NoContent(http.StatusInternalServerError) return nil } state, err := rbac.IsRequestGranted(c.Request(), roles) if err != nil { c.NoContent(http.StatusInternalServerError) return nil } if state.IsGranted() { return nil } c.NoContent(http.StatusUnauthorized) return nil } } } func main(){ c := echo.New() c.Use(Authentication()) // 在这里通过c.Get、c.Post等函数绑定你的API // ... }
3.3. iris && grbac.WithRules
如果你想直接在代码中编写认证规则,grbac.WithRules(rules)
提供了这种方式,你可以像这样使用它:
func QueryRolesByHeaders(header http.Header) (roles []string,err error){ // 在这里实现你的逻辑 // ... // 这个逻辑可能是从请求的Headers中获取token,并且根据token从数据库中查询用户的相应角色。 return roles, err } func Authentication() iris.Handler { var rules = grbac.Rules{ { ID: 0, Resource: &grbac.Resource{ Host: "*", Path: "**", Method: "*", }, Permission: &grbac.Permission{ AuthorizedRoles: []string{"*"}, ForbiddenRoles: []string{"black_user"}, AllowAnyone: false, }, }, { ID: 1, Resource: &grbac.Resource{ Host: "domain.com", Path: "/article", Method: "{DELETE,POST,PUT}", }, Permission: &grbac.Permission{ AuthorizedRoles: []string{"editor"}, ForbiddenRoles: []string{}, AllowAnyone: false, }, }, } rbac, err := grbac.New(grbac.WithRules(rules)) if err != nil { panic(err) } return func(c context.Context) { roles, err := QueryRolesByHeaders(c.Request().Header) if err != nil { c.StatusCode(http.StatusInternalServerError) c.StopExecution() return } state, err := rbac.IsRequestGranted(c.Request(), roles) if err != nil { c.StatusCode(http.StatusInternalServerError) c.StopExecution() return } if !state.IsGranted() { c.StatusCode(http.StatusUnauthorized) c.StopExecution() return } } } func main(){ c := iris.New() c.Use(Authentication()) // 在这里通过c.Get、c.Post等函数绑定你的API // ... }
3.4. ace && grbac.WithAdvancedRules
如果你想直接在代码中编写认证规则,grbac.WithAdvancedRules(rules)
提供了这种方式,你可以像这样使用它:
func QueryRolesByHeaders(header http.Header) (roles []string,err error){ // 在这里实现你的逻辑 // ... // 这个逻辑可能是从请求的Headers中获取token,并且根据token从数据库中查询用户的相应角色。 return roles, err } func Authentication() ace.HandlerFunc { var advancedRules = loader.AdvancedRules{ { Host: []string{"*"}, Path: []string{"**"}, Method: []string{"*"}, Permission: &grbac.Permission{ AuthorizedRoles: []string{}, ForbiddenRoles: []string{"black_user"}, AllowAnyone: false, }, }, { Host: []string{"domain.com"}, Path: []string{"/article"}, Method: []string{"PUT","DELETE","POST"}, Permission: &grbac.Permission{ AuthorizedRoles: []string{"editor"}, ForbiddenRoles: []string{}, AllowAnyone: false, }, }, } auth, err := grbac.New(grbac.WithAdvancedRules(advancedRules)) if err != nil { panic(err) } return func(c *ace.C) { roles, err := QueryRolesByHeaders(c.Request.Header) if err != nil { c.AbortWithStatus(http.StatusInternalServerError) return } state, err := auth.IsRequestGranted(c.Request, roles) if err != nil { c.AbortWithStatus(http.StatusInternalServerError) return } if !state.IsGranted() { c.AbortWithStatus(http.StatusUnauthorized) return } } } func main(){ c := ace.New() c.Use(Authentication()) // 在这里通过c.Get、c.Post等函数绑定你的API // ... }
loader.AdvancedRules
试图提供一种比grbac.Rules
更紧凑的定义鉴权规则的方法。
3.5. gin && grbac.WithLoader
func QueryRolesByHeaders(header http.Header) (roles []string,err error){ // 在这里实现你的逻辑 // ... // 这个逻辑可能是从请求的Headers中获取token,并且根据token从数据库中查询用户的相应角色。 return roles, err } type MySQLLoader struct { session *gorm.DB } func NewMySQLLoader(dsn string) (*MySQLLoader, error) { loader := &MySQLLoader{} db, err := gorm.Open("mysql", dsn) if err != nil { return nil, err } loader.session = db return loader, nil } func (loader *MySQLLoader) LoadRules() (rules grbac.Rules, err error) { // 在这里实现你的逻辑 // ... // 你可以从数据库或文件加载授权规则 // 但是你需要以 grbac.Rules 的格式返回你的身份验证规则 // 提示:你还可以将此函数绑定到golang结构体 return } func Authentication() gin.HandlerFunc { loader, err := NewMySQLLoader("user:password@/dbname?charset=utf8&parseTime=True&loc=Local") if err != nil { panic(err) } rbac, err := grbac.New(grbac.WithLoader(loader.LoadRules, time.Second * 5)) if err != nil { panic(err) } return func(c *gin.Context) { roles, err := QueryRolesByHeaders(c.Request.Header) if err != nil { c.AbortWithStatus(http.StatusInternalServerError) return } state, err := rbac.IsRequestGranted(c.Request, roles) if err != nil { c.AbortWithStatus(http.StatusInternalServerError) return } if !state.IsGranted() { c.AbortWithStatus(http.StatusUnauthorized) return } } } func main(){ c := gin.New() c.Use(Authorization()) // 在这里通过c.Get、c.Post等函数绑定你的API // ... c.Run(":8080") }
4. 增强的通配符
Wildcard
支持的语法:
pattern: { term } term: '*' 匹配任何非路径分隔符的字符串 '**' 匹配任何字符串,包括路径分隔符. '?' 匹配任何单个非路径分隔符 '[' [ '^' ] { character-range } ']' character class (must be non-empty) '{' { term } [ ',' { term } ... ] '}' c 匹配字符 c (c != '*', '?', '\\', '[') '\\' c 匹配字符 c character-range: c 匹配字符 c (c != '\\', '-', ']') '\\' c 匹配字符 c lo '-' hi 匹配字符 c for lo <= c <= hi
5. 运行效率
➜ gos test -bench=. goos: linux goarch: amd64 pkg: github.com/storyicon/grbac/pkg/tree BenchmarkTree_Query 2000 541397 ns/op BenchmarkTree_Foreach_Query 2000 1360719 ns/op PASS ok github.com/storyicon/grbac/pkg/tree 13.182s
测试用例包含1000个随机规则,“BenchmarkTree_Query”和“BenchmarkTree_Foreach_Query”函数分别测试四个请求:
541397/(4*1e9)=0.0001s
当有1000条规则时,每个请求的平均验证时间为“0.0001s”,这很快(大多数时间在通配符的匹配上)。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
模拟Internet架构的DNS解析系统
一、环境准备 主机用的centos7,建议关闭图形界面: systemctl set-default nulti-user.target init 3 准备工作:关闭所有主机的防火墙,selinux: systemctl stop firewalld systemctl disable firewalld setenforce 0 sed -i "s/SELINUX=enforcing/SELINUX=disabled/" /etc/selinux/config 这里用到dns转发,dns主从,dns子域委派,有兴趣的可以在主从dns服务器上添加反向解析域和智能dns。 架构图如下: 二、搭建 由于主机较多,配置过程中可能会出现各种问题,从哪里配置呢? 这里从下往上配置,配置一台主机测试无问题后再配置另外一台 用ip地址的后2为表示主机 1、在12.67 建立web网站 yuminstallhttpd-y systemctlstarthttpd echowww.test.com>/var/www/html/index.html 在客户端12.6测试网站正常 2、搭建主服务器1...
- 下一篇
记一次ceph心跳机制异常的案例
现象:部署使用ceph集群的时候遇到一个情况,在大规模集群的时候,有节点网络或者osd异常时,mon迟迟不把该异常的osd标down,一直等待900s后mon发现该节点的osd一直没有更新pgmap才把异常的osd标down,并更新osdmap扩散出去。但这个900s内,客户端IO还是会一直往异常的osd上去下发,导致io超时,并进一步影响上次的业务。 原因分析:我们在mon的日志里面也看到了和异常osd建立心跳的其他osd向mon报告该osd的异常,但mon确实在短时间内没有这些osd标down。查看了一些相关网络和书籍的资料后,才发现了问题。首先我们关注osd配置中几个相关的配置项:(1)osd_heartbeat_min_peers:10(2)mon_osd_min_down_reporters:2(3)mon_osd_min_down_reporters_ratio:0.5以上参数的之都可以在ceph集群节点上执行ceph daemon osd.x config show查看(x是你的集群osd的id)。问题出现的原因是什么呢?问题现场的集群部署时每个osd会随机选取10个pe...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Hadoop3单机部署,实现最简伪集群
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- CentOS7,CentOS8安装Elasticsearch6.8.6