php casbin

Документация | Учебники | Расширения

Срочные новости : теперь доступен Laravel-authz, библиотека авторизации для платформы Laravel.

PHP-Casbin — это мощная и эффективная библиотека контроля доступа с открытым исходным кодом для проектов PHP. Он обеспечивает поддержку принудительной авторизации на основе различных моделей контроля доступа.

Требуйте этот пакет в composer.json вашего проекта. Это загрузит пакет:

 composer require casbin/casbin

1. Создайте компонент Casbin Enforcer с файлом модели и файлом политики:

 require_once ' ./vendor/autoload.php ' ;

use Casbin  Enforcer ;

$ e = new Enforcer ( " path/to/model.conf " , " path/to/policy.csv " );

2. Добавьте обработчик принудительного исполнения в свой код прямо перед тем, как произойдет доступ:

 $ sub = " alice " ; // the user that wants to access a resource .
$ obj = " data1 " ; // the resource that is going to be accessed .
$ act = " read " ; // the operation that the user performs on the resource .

if ( $ e -> enforce ( $ sub , $ obj , $ act ) === true ) {
    // permit alice to read data1
} else {
    // deny the request , show an error
}

• Поддерживаемые модели
• Как это работает?
• Функции
• Документация
• Онлайн-редактор
• Учебники
• Управление политиками
• Постоянство политики
• Ролевой менеджер
• Примеры
• Промежуточное ПО
• Наши усыновители

1. ACL (список контроля доступа)
2. ACL с суперпользователем
3. ACL без пользователей : особенно полезно для систем, в которых нет аутентификации или входа в систему пользователей.
4. ACL без ресурсов : некоторые сценарии могут ориентироваться на тип ресурсов, а не на отдельный ресурс, используя такие разрешения, как write-article , read-log . Он не контролирует доступ к конкретной статье или журналу.
5. RBAC (управление доступом на основе ролей)
6. RBAC с ролями ресурсов : и пользователи, и ресурсы могут иметь роли (или группы) одновременно.
7. RBAC с доменами/арендаторами : пользователи могут иметь разные наборы ролей для разных доменов/клиентов.
8. ABAC (контроль доступа на основе атрибутов) : синтаксический сахар, такой как resource.Owner Владелец может использоваться для получения атрибута ресурса.
9. RESTful : поддерживает такие пути, как /res/* , /res/:id и методы HTTP, такие как GET , POST , PUT , DELETE .
10. Deny-override : поддерживаются как разрешенные, так и запрещенные авторизации, Deny переопределяет разрешение.
11. Приоритет : правила политики могут иметь приоритет, как и правила брандмауэра.

В php-casbin модель контроля доступа абстрагируется в файл CONF на основе метамодели PERM (Policy, Effect, Request, Matchers) . Таким образом, переключить или обновить механизм авторизации проекта так же просто, как изменить конфигурацию. Вы можете настроить свою собственную модель контроля доступа, комбинируя доступные модели. Например, вы можете объединить роли RBAC и атрибуты ABAC внутри одной модели и использовать один набор правил политики.

Самая базовая и простая модель в php-casbin — это ACL. Модель CONF ACL:

 # Request definition
[request_definition]
r = sub, obj, act

# Policy definition
[policy_definition]
p = sub, obj, act

# Policy effect
[policy_effect]
e = some(where ( p.eft == allow))

# Matchers
[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

Пример политики для модели ACL выглядит следующим образом:

 p, alice, data1, read
p, bob, data2, write

Это означает:

• Алиса может читать данные1
• Боб может записывать данные2

Что делает php-casbin:

1. применяйте политику в классической форме {subject, object, action} или в настроенной вами форме, поддерживаются как разрешение, так и запрет авторизации.
2. управлять хранением модели контроля доступа и ее политики.
3. управлять сопоставлениями ролей и пользователей и сопоставлениями ролей (так называемая иерархия ролей в RBAC).
4. поддержка встроенного суперпользователя, такого как root или administrator . Суперпользователь может делать что угодно без явных разрешений.
5. несколько встроенных операторов для поддержки сопоставления правил. Например, keyMatch может сопоставить ключ ресурса /foo/bar с шаблоном /foo* .

Чего НЕ делает php-casbin:

1. аутентификация (то есть проверка username и password при входе пользователя в систему)
2. управлять списком пользователей или ролей. Я считаю, что самому проекту удобнее управлять этими сущностями. У пользователей обычно есть свои пароли, а php-casbin не предназначен для хранения паролей. Однако php-casbin хранит сопоставление ролей пользователей для сценария RBAC.

https://casbin.org/docs/en/overview

Вы также можете использовать онлайн-редактор (http://casbin.org/editor/), чтобы написать свою модель и политику php-casbin в своем веб-браузере. Он предоставляет такие функции, как syntax highlighting и code completion , точно так же, как IDE для языка программирования.

https://casbin.org/docs/tutorials

php-casbin предоставляет два набора API для управления разрешениями:

• API управления: примитивный API, обеспечивающий полную поддержку управления политиками php-casbin.
• RBAC API: более удобный API для RBAC. Этот API является подмножеством Management API. Пользователи RBAC могут использовать этот API для упрощения кода.

https://casbin.org/docs/en/adapters

https://casbin.org/docs/en/role-managers

Промежуточное ПО Authz для веб-фреймворков: https://casbin.org/docs/middlewares

https://casbin.org/docs/adopters

Этот проект существует благодаря всем людям, которые вносят свой вклад.

Спасибо всем нашим сторонникам! [Стать спонсором]

Поддержите этот проект, став спонсором. Здесь появится ваш логотип со ссылкой на ваш сайт. [Стать спонсором]

Этот проект распространяется по лицензии Apache 2.0.

Если у вас есть какие-либо проблемы или пожелания по функциям, пожалуйста, свяжитесь с нами. Пиар приветствуется.

• https://github.com/php-casbin/php-casbin/issues
• [email protected]
• Группа Tencent QQ: 546057381