Контроль доступа (Access Control List)

1. ACL с суперпользователем (superuser).
2. ACL без пользователей: особенно полезен для систем, в которых нет аутентификации или входа пользователя в систему.
3. ACL без ресурсов: некоторые сценарии могут быть нацелены на тип ресурсов вместо отдельного ресурса с использованием разрешений типа «write-article», «read-log». Это не контролирует доступ к конкретной статье или журналу.
4. Управление доступом на основе ролей (Role-Based Access Control, RBAC).
5. RBAC с ролями ресурсов: и пользователи, и ресурсы могут иметь роли (или группы) одновременно.
6. RBAC с доменами/арендаторами: пользователи могут иметь разные наборы ролей для разных доменов/арендаторов.
7. Управление доступом на основе атрибутов (Attribute-Based Access Control, ABAC): синтаксический сахар, такой как «resource.Owner», можно использовать для получения атрибута для ресурса.
8. RESTful: поддерживает пути типа «/res/*», «/res/:id» и HTTP-методы типа GET, POST, PUT, DELETE.
9. Запрет-переопределение: поддерживаются как разрешения на разрешение, так и запрет, запрет переопределяет разрешение.
10. Приоритет: правила политики можно расставить по приоритету, как правила брандмауэра.

Как это работает?

В php-casbin модель контроля доступа абстрагируется в файл CONF на основе метамодели PERM (политика, эффект, запрос, сопоставители). Таким образом, переключение или обновление механизма авторизации для проекта — это просто изменение конфигурации. Вы можете настроить собственную модель контроля доступа, комбинируя доступные модели. Например, вы можете объединить роли RBAC и атрибуты ABAC в одной модели и использовать один набор правил политики.

Самая базовая и простая модель в php-casbin — это ACL. Модель CONF ACL:

# Определение запроса
[request_definition]
r = sub, obj, act

# Определение политики
[policy_definition]
p = sub, obj, act

# Эффект политики
[policy_effect]
e = some(where (p.eft == allow))

# Сопоставители
[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

Пример политики для модели ACL выглядит так:

p, alice, data1, read
p, bob, data2, write

Это означает:

• Алиса может читать data1;
• Боб может писать data2.

Функции

Что делает php-casbin:

1. Применяет политику в классической форме {субъект, объект, действие} или в настраиваемой форме, определённой вами, поддерживаются разрешения на разрешение и запрет.
2. Управляет хранилищем модели контроля доступа и её политикой.
3. Управляет сопоставлениями ролей пользователей и сопоставлениями ролей (иерархия ролей в RBAC).
4. Поддерживает встроенного суперпользователя, такого как root или administrator. Суперпользователь может делать всё без явных разрешений.
5. Имеет несколько встроенных операторов для поддержки сопоставления правил. Например, keyMatch может сопоставить ключ ресурса /foo/bar с шаблоном /foo*.

Чего php-casbin не делает:

1. Аутентификацию (проверку имени пользователя и пароля при входе пользователя в систему).
2. Управление списком пользователей или ролей. Я считаю, что самому проекту удобнее управлять этими сущностями. Пользователи обычно имеют свои пароли, а php-casbin не предназначен для хранения паролей. Однако php-casbin хранит сопоставление пользователь-роль для сценария RBAC.

Документация https://casbin.org/docs/en/overview

Онлайн-редактор

Вы также можете использовать онлайн-редактор (http://casbin.org/editor/), чтобы написать свою модель и политику php-casbin в веб-браузере. Он предоставляет такие функции, как подсветка синтаксиса и автозаполнение, как IDE для языка программирования.

Учебники

https://casbin.org/docs/tutorials

Управление политиками

php-casbin предоставляет два набора API для управления разрешениями:

• Management API: примитивный API, обеспечивающий полную поддержку управления политиками php-casbin.
• RBAC API: более дружественный API для RBAC. Этот API является подмножеством Management API. Пользователи RBAC могут использовать этот API для... Упрощение кода

Модель редактора

Редактор политик

Сохранение политик

https://casbin.org/docs/en/adapters

Менеджер ролей

https://casbin.org/docs/en/role-managers

Примеры

Промежуточное ПО

Промежуточное ПО Authz для веб-фреймворков: https://casbin.org/docs/middlewares

Наши пользователи

https://casbin.org/docs/adopters

Участники

Этот проект существует благодаря всем людям, которые вносят свой вклад.

Поддержавшие

Спасибо всем нашим поддержавшим! 🙏 [Станьте поддержавшим]

Спонсоры

Поддержите этот проект, став спонсором. Ваш логотип будет отображаться здесь со ссылкой на ваш веб-сайт. [Стать спонсором]

## Лицензия

Этот проект лицензирован в соответствии с лицензией Apache 2.0.

Контакты

Если у вас есть какие-либо проблемы или пожелания, пожалуйста, свяжитесь с нами. PR приветствуется.

• https://github.com/php-casbin/php-casbin/issues
• techlee@qq.com
• Группа Tencent QQ: 546057381