Casbin

💖 Ищете open-source решение для управления идентификацией и доступом, такое как Okta, Auth0, Keycloak? Узнайте больше о Casdoor!

Новости: асинхронная версия PyCasbin доступна по адресу: https://pypi.org/project/asynccasbin/.

Новости: всё ещё беспокоитесь о том, как написать правильную политику Casbin? На помощь придёт онлайн-редактор Casbin! Попробуйте его по адресу: http://casbin.org/editor/.

Casbin — это мощная и эффективная библиотека контроля доступа с открытым исходным кодом для проектов Python. Она поддерживает авторизацию на основе различных моделей контроля доступа.

Все языки, поддерживаемые Casbin:

Casbin, jCasbin, node-Casbin, PHP-Casbin.

PyCasbin, Casbin.NET, Casbin-CPP, Casbin-RS.

Содержание

• Поддерживаемые модели
• Как это работает?
• Функции
• Установка
• Документация
• Онлайн-редактор
• Учебники
• Начало работы
• Управление политиками
• Сохранение политик
• Менеджер ролей
• Бенчмарки
• Примеры
• Middlewares
• Наши пользователи

Поддерживаемые модели

1. ACL (Access Control List)
2. ACL с суперпользователем
3. ACL без пользователей
4. ACL без ресурсов
5. RBAC (Role-Based Access Control)
6. RBAC с ресурсными ролями Ресурсы могут иметь роли (или группы) одновременно.
7. Управление доступом на основе ролей (RBAC) с доменами/арендаторами: пользователи могут иметь разные наборы ролей для разных доменов/арендаторов.
8. Управление доступом на основе атрибутов (ABAC): синтаксический сахар, такой как «resource.Owner», можно использовать для получения атрибута ресурса.
9. RESTful: поддерживает пути типа «/res/*», «/res/:id» и HTTP-методы типа GET, POST, PUT, DELETE.
10. Запрет переопределения: поддерживаются разрешения на разрешение и запрет, запрет переопределяет разрешение.
11. Приоритет: правила политики можно расставить по приоритету, как правила брандмауэра.

Как это работает?

В Casbin модель контроля доступа абстрагируется в файл CONF на основе метамодели PERM (Политика, Эффект, Запрос, Сопоставители). Таким образом, переключение или обновление механизма авторизации для проекта — это так же просто, как изменить конфигурацию. Вы можете настроить собственную модель контроля доступа, комбинируя доступные модели. Например, вы можете объединить роли RBAC и атрибуты ABAC в одной модели и использовать один набор правил политики.

Самая базовая и простая модель в Casbin — это ACL. Модель CONF для ACL выглядит следующим образом:

# Определение запроса
[request_definition]
r = sub, obj, act

# Определение политики
[policy_definition]
p = sub, obj, act

# Эффект политики
[policy_effect]
e = some(where (p.eft == allow))

# Сопоставители
[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

Пример политики для модели ACL выглядит так:

p, alice, data1, read
p, bob, data2, write

Это означает:

• Алиса может читать data1.
• Боб может писать data2.

Мы также поддерживаем многострочный режим, добавляя '\' в конце:

# Сопоставители
[matchers]
m = r.sub == p.sub && r.obj == p.obj \ 
  && r.act == p.act

Кроме того, если вы используете ABAC, вы можете попробовать оператор in в версии Casbin на языке golang (jCasbin и Node-Casbin пока не поддерживаются):

# Сопоставители
[matchers]
m = r.obj == p.obj && r.act == p.act || r.obj in ('data2', 'data3')

Но вы ДОЛЖНЫ убедиться, что длина массива БОЛЬШЕ 1, иначе это вызовет панику.

Дополнительные операторы можно найти в govaluate.

Особенности

Что делает Casbin:

1. Применяет политику в классической форме {субъект, объект, действие} или в настраиваемой форме, которую вы определили, поддерживаются как разрешения, так и запреты.
2. Управляет хранением модели контроля доступа и её политики.
3. Управляет сопоставлениями ролей пользователей и сопоставлениями ролей (иерархия ролей в RBAC).
4. Поддерживает встроенного суперпользователя, такого как root или administrator. Суперпользователь может делать всё без явных разрешений.
5. Предоставляет несколько встроенных операторов для поддержки сопоставления правил. Например, keyMatch может сопоставить ключ ресурса /foo/bar с шаблоном /foo*.

Чего Casbin не делает:

1. Аутентификацию (проверку имени пользователя и пароля при входе пользователя в систему).
2. Управление списком пользователей или ролей. Я считаю, что самому проекту удобнее управлять этими сущностями. Пользователи обычно имеют свои пароли, а Casbin не предназначен для хранения паролей. Однако Casbin хранит сопоставление пользователь-роль для сценария RBAC.

Установка

pip install casbin

Документация

https://casbin.org/docs/overview

Онлайн-редактор

Вы также можете использовать онлайн-редактор (http://casbin.org/editor/), чтобы написать свою модель и политику Casbin в веб-браузере. Он предоставляет такие функции, как подсветка синтаксиса и автозаполнение, как IDE для языка программирования.

Учебники

https://casbin.org/docs/tutorials

Начало работы

1. Создайте Casbin-контролёр с файлом модели и файлом политики:

import casbin
e = casbin.Enforcer("path/to/model.conf", "path/to/policy.csv")

Примечание: вы также можете инициализировать контролёр с политикой в БД вместо файла, см. раздел Постоянство политики для подробностей.

2. Добавьте принудительный механизм в свой код. Перед доступом:

sub = "alice"  # пользователь, который хочет получить доступ к ресурсу.
obj = "data1"  # ресурс, к которому будет получен доступ.
act = "read"  # операция, которую пользователь выполняет над ресурсом.

if e.enforce(sub, obj, act):
    # разрешить Алисе читать data1
    pass
else:
    # отклонить запрос, показать ошибку
    pass

Кроме статического файла политики, Casbin также предоставляет API для управления разрешениями во время выполнения. Например, вы можете получить все роли, назначенные пользователю:

roles = e.get_roles_for_user("alice")

Подробнее см. в разделе «Управление политиками».

Управление политиками

Casbin предоставляет два набора API для управления разрешениями:

• Management API (https://github.com/casbin/casbin/blob/master/management_api.go) — базовый API, обеспечивающий полную поддержку управления политиками Casbin. Примеры см. здесь (https://github.com/casbin/casbin/blob/master/management_api_test.go).
• RBAC API (https://github.com/casbin/casbin/blob/master/rbac_api.go) — более удобный API для RBAC. Этот API является подмножеством Management API. Пользователи RBAC могут использовать этот API для упрощения кода. Примеры см. здесь (https://github.com/casbin/casbin/blob/master/rbac_api_test.go).

Мы также предоставляем веб-интерфейс для управления моделью и политикой:

Редактор модели	Редактор политики

Постоянство политик https://casbin.org/docs/adapters

Менеджер ролей https://casbin.org/docs/role-managers

Бенчмарки https://casbin.org/docs/benchmark

Примеры

Authz middlewares для веб-фреймворков: https://casbin.org/docs/middlewares

Наши пользователи

https://casbin.org/docs/adopters

Участники

Этот проект существует благодаря всем людям, которые вносят свой вклад.

Спонсоры

Спасибо всем нашим спонсорам! 🙏 [Станьте спонсором]

Покровители

Поддержите этот проект, став покровителем. Ваш логотип будет отображаться здесь с ссылкой на ваш веб-сайт. [Станьте покровителем]

Лицензия

Этот проект лицензирован по лицензии Apache 2.0.

Контакты

Если у вас есть какие-либо вопросы или пожелания, пожалуйста, свяжитесь с нами. PR приветствуется.

• https://github.com/casbin/pycasbin/issues
• techlee@qq.com
• Tencent QQ group: 546057381