jcasbin

^{Спонсор}

Создавайте аутентификацию с защитой от мошенничества быстрее.
Попробуйте Stytch для аутентификации на основе API, управления пользователями и организациями, мультитенантного единого входа, MFA, снятия отпечатков пальцев устройств и многого другого.

? Ищете решение для управления идентификацией и доступом с открытым исходным кодом, такое как Okta, Auth0, Keycloak? Узнать больше о: Casdoor

Новости : все еще беспокоитесь о том, как написать правильную политику jCasbin? Casbin online editor придет на помощь! Попробуйте: https://casbin.org/editor/.

jCasbin — это мощная и эффективная библиотека контроля доступа с открытым исходным кодом для проектов Java. Он обеспечивает поддержку принудительной авторизации на основе различных моделей контроля доступа.

• Поддерживаемые модели
• Как это работает?
• Функции
• Установка
• Документация
• Онлайн-редактор
• Учебники
• Начать
• Управление политиками
• Постоянство политики
• Ролевой менеджер
• Примеры
• Промежуточное ПО
• Наши усыновители
• Поддержка Spring Boot

1. ACL (список контроля доступа)
2. ACL с суперпользователем
3. ACL без пользователей : особенно полезно для систем, в которых нет аутентификации или входа в систему пользователей.
4. ACL без ресурсов : некоторые сценарии могут ориентироваться на тип ресурсов, а не на отдельный ресурс, используя такие разрешения, как write-article , read-log . Он не контролирует доступ к конкретной статье или журналу.
5. RBAC (управление доступом на основе ролей)
6. RBAC с ролями ресурсов : и пользователи, и ресурсы могут иметь роли (или группы) одновременно.
7. RBAC с доменами/арендаторами : пользователи могут иметь разные наборы ролей для разных доменов/клиентов.
8. ABAC (контроль доступа на основе атрибутов) : синтаксический сахар, такой как resource.Owner Владелец может использоваться для получения атрибута ресурса.
9. RESTful : поддерживает такие пути, как /res/* , /res/:id и методы HTTP, такие как GET , POST , PUT , DELETE .
10. Deny-override : поддерживаются как разрешенные, так и запрещенные авторизации, Deny переопределяет разрешение.
11. Приоритет : правила политики могут иметь приоритет, как и правила брандмауэра.

В jCasbin модель управления доступом абстрагируется в файл CONF на основе метамодели PERM (Политика, Эффект, Запрос, Сопоставители) . Таким образом, переключить или обновить механизм авторизации проекта так же просто, как изменить конфигурацию. Вы можете настроить свою собственную модель контроля доступа, комбинируя доступные модели. Например, вы можете объединить роли RBAC и атрибуты ABAC внутри одной модели и использовать один набор правил политики.

Самая базовая и простая модель в jCasbin — это ACL. Модель ACL CONF:

 # Request definition
[request_definition]
r = sub, obj, act

# Policy definition
[policy_definition]
p = sub, obj, act

# Policy effect
[policy_effect]
e = some(where ( p.eft == allow))

# Matchers
[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

Пример политики для модели ACL выглядит следующим образом:

 p, alice, data1, read
p, bob, data2, write

Это означает:

• Алиса может читать данные1
• Боб может записывать данные2

Что делает jCasbin:

1. применяйте политику в классической форме {subject, object, action} или в настроенной форме, как вы определили, поддерживаются как разрешение, так и запрет авторизации.
2. управлять хранением модели контроля доступа и ее политики.
3. управлять сопоставлениями ролей и пользователей и сопоставлениями ролей (так называемая иерархия ролей в RBAC).
4. поддержка встроенного суперпользователя, такого как root или administrator . Суперпользователь может делать что угодно без явных разрешений.
5. несколько встроенных операторов для поддержки сопоставления правил. Например, keyMatch может сопоставить ключ ресурса /foo/bar с шаблоном /foo* .

Чего НЕ делает jCasbin:

1. аутентификация (то есть проверка username и password при входе пользователя в систему)
2. управлять списком пользователей или ролей. Я считаю, что самому проекту удобнее управлять этими сущностями. У пользователей обычно есть свои пароли, а jCasbin не предназначен для хранения паролей. Однако jCasbin хранит сопоставление ролей пользователей для сценария RBAC.

Для Мавена:

 <dependency>
  <groupId>org.casbin</groupId>
  <artifactId>jcasbin</artifactId>
  <version>1.x.y (replace with latest version)</version>
</dependency>

https://casbin.org/docs/overview

Вы также можете использовать онлайн-редактор (https://casbin.org/editor/), чтобы написать свою модель и политику jCasbin в своем веб-браузере. Он предоставляет такие функции, как syntax highlighting и code completion , точно так же, как IDE для языка программирования.

https://casbin.org/docs/tutorials

1. Новый исполнитель jCasbin с файлом модели и файлом политики:

    Enforcer enforcer = new Enforcer ( "path/to/model.conf" , "path/to/policy.csv" );

Примечание. Вы также можете инициализировать исполнитель с политикой в ​​БД, а не в файле. Подробности см. в разделе «Сохранение политики».

2. Добавьте обработчик принудительного исполнения в свой код прямо перед тем, как произойдет доступ:

    String sub = "alice" ; // the user that wants to access a resource.
   String obj = "data1" ; // the resource that is going to be accessed.
   String act = "read" ; // the operation that the user performs on the resource.
   
   if ( enforcer . enforce ( sub , obj , act ) == true ) {
       // permit alice to read data1
   } else {
       // deny the request, show an error
   }

3. Помимо файла статической политики, jCasbin также предоставляет API для управления разрешениями во время выполнения. Например, вы можете получить все роли, назначенные пользователю, как показано ниже:

    Roles roles = enforcer . getRoles ( "alice" );

Дополнительные сведения об использовании см. в разделе API управления политиками.

4. Пожалуйста, обратитесь к пакету src/test для получения дополнительной информации об использовании.

jCasbin предоставляет два набора API для управления разрешениями:

• API управления: примитивный API, обеспечивающий полную поддержку управления политиками jCasbin. См. здесь примеры.
• RBAC API: более удобный API для RBAC. Этот API является подмножеством Management API. Пользователи RBAC могут использовать этот API для упрощения кода. См. здесь примеры.

Мы также предоставляем веб-интерфейс для управления моделями и политиками:

https://casbin.org/docs/adapters

https://casbin.org/docs/role-managers

Промежуточное ПО Authz для веб-фреймворков: https://casbin.org/docs/middlewares

https://casbin.org/docs/adopters

Мы предоставляем поддержку Spring Boot, вы можете использовать casbin-spring-boot-starter для быстрой разработки в SpringBoot.

В casbin-spring-boot-starter мы внесли следующие изменения:

1. Переписать JDBCAdapter для поддержки различных часто используемых баз данных JDBC.
2. Внедрить RedisWatcher
3. Советы по настройке редактора IDEA
4. Обеспечить конфигурацию по умолчанию, автоматическую сборку
5. Интеграция SpringSecurity (будущее)
6. Интеграция Широ (будущее)

https://github.com/jcasbin/casbin-spring-boot-starter

Этот проект существует благодаря всем людям, которые вносят свой вклад.

Спасибо всем нашим сторонникам! [Стать спонсором]

Поддержите этот проект, став спонсором. Здесь появится ваш логотип со ссылкой на ваш сайт. [Стать спонсором]

Этот проект распространяется по лицензии Apache 2.0.

Если у вас есть какие-либо проблемы или пожелания по функциям, пожалуйста, свяжитесь с нами. Пиар приветствуется.

• https://github.com/casbin/jcasbin/issues
• [email protected]
• Группа Tencent QQ: 546057381