php casbin

Documentación | Tutoriales | Extensiones

Noticias de última hora : Laravel-authz ya está disponible, una biblioteca de autorización para el marco Laravel.

PHP-Casbin es una biblioteca de control de acceso de código abierto potente y eficiente para proyectos PHP. Proporciona soporte para hacer cumplir la autorización basada en varios modelos de control de acceso.

Requiere este paquete en el composer.json de tu proyecto. Esto descargará el paquete:

 composer require casbin/casbin

1. Nuevo ejecutor de Casbin con un archivo de modelo y un archivo de política:

 require_once ' ./vendor/autoload.php ' ;

use Casbin  Enforcer ;

$ e = new Enforcer ( " path/to/model.conf " , " path/to/policy.csv " );

2. Agregue un gancho de cumplimiento a su código justo antes de que se produzca el acceso:

 $ sub = " alice " ; // the user that wants to access a resource .
$ obj = " data1 " ; // the resource that is going to be accessed .
$ act = " read " ; // the operation that the user performs on the resource .

if ( $ e -> enforce ( $ sub , $ obj , $ act ) === true ) {
    // permit alice to read data1
} else {
    // deny the request , show an error
}

• Modelos compatibles
• ¿Cómo funciona?
• Características
• Documentación
• editor en línea
• Tutoriales
• Gestión de políticas
• Persistencia de políticas
• Administrador de roles
• Ejemplos
• Middlewares
• Nuestros adoptantes

1. ACL (lista de control de acceso)
2. ACL con superusuario
3. ACL sin usuarios : especialmente útil para sistemas que no tienen autenticación ni inicios de sesión de usuarios.
4. ACL sin recursos : algunos escenarios pueden apuntar a un tipo de recursos en lugar de a un recurso individual mediante el uso de permisos como write-article , read-log . No controla el acceso a un artículo o registro específico.
5. RBAC (control de acceso basado en roles)
6. RBAC con roles de recursos : tanto los usuarios como los recursos pueden tener roles (o grupos) al mismo tiempo.
7. RBAC con dominios/inquilinos : los usuarios pueden tener diferentes conjuntos de roles para diferentes dominios/inquilinos.
8. ABAC (control de acceso basado en atributos) : azúcar de sintaxis similar resource.Owner El propietario se puede utilizar para obtener el atributo de un recurso.
9. RESTful : admite rutas como /res/* , /res/:id y métodos HTTP como GET , POST , PUT , DELETE .
10. Denegar anulación : se admiten tanto permitir como denegar autorizaciones; denegar anula la autorización.
11. Prioridad : las reglas de política se pueden priorizar como reglas de firewall.

En php-casbin, un modelo de control de acceso se abstrae en un archivo CONF basado en el metamodelo PERM (Política, Efecto, Solicitud, Coincidencias) . Entonces, cambiar o actualizar el mecanismo de autorización de un proyecto es tan simple como modificar una configuración. Puedes personalizar tu propio modelo de control de acceso combinando los modelos disponibles. Por ejemplo, puede reunir roles RBAC y atributos ABAC dentro de un modelo y compartir un conjunto de reglas de políticas.

El modelo más básico y simple en php-casbin es ACL. El modelo CONF de ACL es:

 # Request definition
[request_definition]
r = sub, obj, act

# Policy definition
[policy_definition]
p = sub, obj, act

# Policy effect
[policy_effect]
e = some(where ( p.eft == allow))

# Matchers
[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

Una política de ejemplo para el modelo ACL es como:

 p, alice, data1, read
p, bob, data2, write

Significa:

• Alice puede leer datos1
• Bob puede escribir datos2

Qué hace php-casbin:

1. aplique la política en el formulario clásico {subject, object, action} o en un formulario personalizado según lo definido, se admiten tanto permitir como denegar autorizaciones.
2. Manejar el almacenamiento del modelo de control de acceso y su política.
3. administrar las asignaciones de rol-usuario y las asignaciones de rol-role (también conocida como jerarquía de roles en RBAC).
4. Admite superusuario integrado como root o administrator . Un superusuario puede hacer cualquier cosa sin permisos explícitos.
5. múltiples operadores integrados para admitir la coincidencia de reglas. Por ejemplo, keyMatch puede asignar una clave de recurso /foo/bar al patrón /foo* .

Lo que php-casbin NO hace:

1. autenticación (también conocida como verificar username y password cuando un usuario inicia sesión)
2. gestionar la lista de usuarios o roles. Creo que es más conveniente para el propio proyecto gestionar estas entidades. Los usuarios normalmente tienen sus contraseñas y php-casbin no está diseñado como un contenedor de contraseñas. Sin embargo, php-casbin almacena la asignación de roles de usuario para el escenario RBAC.

https://casbin.org/docs/en/overview

También puede utilizar el editor en línea (http://casbin.org/editor/) para escribir su modelo y política php-casbin en su navegador web. Proporciona funciones como syntax highlighting y code completion , como un IDE para un lenguaje de programación.

https://casbin.org/docs/tutorials

php-casbin proporciona dos conjuntos de API para administrar permisos:

• API de administración: la API primitiva que brinda soporte completo para la administración de políticas de php-casbin.
• API RBAC: una API más amigable para RBAC. Esta API es un subconjunto de la API de administración. Los usuarios de RBAC podrían utilizar esta API para simplificar el código.

https://casbin.org/docs/en/adapters

https://casbin.org/docs/en/role-managers

Middlewares de autenticación para marcos web: https://casbin.org/docs/middlewares

https://casbin.org/docs/adopters

Este proyecto existe gracias a todas las personas que contribuyen.

¡Gracias a todos nuestros patrocinadores! [Conviértete en patrocinador]

Apoya este proyecto convirtiéndote en patrocinador. Su logotipo aparecerá aquí con un enlace a su sitio web. [Conviértete en patrocinador]

Este proyecto está bajo la licencia Apache 2.0.

Si tiene algún problema o solicitud de funciones, contáctenos. Las relaciones públicas son bienvenidas.

• https://github.com/php-casbin/php-casbin/issues
• [email protected]
• Grupo Tencent QQ: 546057381