README

基于属性的访问控制（ABAC）实现库

简介

这个库旨在在你的PHP应用程序中实现ABAC的概念。

该概念是通过使用属性来管理访问控制：从用户、资源和环境。

它允许我们根据用户对象的属性以及可选的访问对象属性定义规则。

这些规则将在你的应用程序中检查，以确定用户是否被允许执行操作。

以下链接解释了ABAC是什么

• ABAC简介
• NIST规范

安装

使用composer

composer require craftcamp/php-abac

然后你需要配置应用程序的属性和规则。

有关此信息的更多详细信息，请参阅专用文档

文档

• 配置
• 依赖注入
• 访问控制
• 比较
• 缓存

使用示例

只有规则中定义的用户属性示例

在这个示例中，我们有一个代表当前用户的对象。

这个对象具有属性，通过getter方法来访问值。

例如，我们可以编写

<?php

use PhpAbac\AbacFactory;

class User{
    protected $id;

    protected $isBanned;

    public function getId() {
        return $this->id;
    }

    public function setIsBanned($isBanned) {
        $this->isBanned = $isBanned;

        return $this;
    }

    public function getIsBanned() {
        return $this->isBanned;
    }
}

$user = new User();
$user->setIsBanned(true);

$abac = AbacFactory::getAbac([
    'policy_rule_configuration.yml'
]);
$abac->enforce('create-group', $user);

规则检查的属性可以是

具有用户和对象属性的示例

use PhpAbac\AbacFactory;

$abac = AbacFactory::getAbac([
    'policy_rule_configuration.yml'
]);
$check = $abac->enforce('read-public-group', $user, $group);

检查的属性可以是

动态属性示例

<?php

use PhpAbac\AbacFactory;

$abac = AbacFactory::getAbac([
    'policy_rule_configuration.yml'
]);
$check = $abac->enforce('edit-group', $user, $group, [
    'dynamic-attributes' => [
        'group-owner' => $user->getId()
    ]
]);

引用属性示例

配置应该是

attributes:
    group:
        class: MyApp\Model\Group
        type: resource
        fields:
            author.id:
                name: Author ID
    app_user:
        class: MyApp\Model\User
        type: user
        fields:
            id:
                name: User ID

rules:
    remove-group:
        attributes:
            app_user.id:
                comparison: object
                comparison_type: isFieldEqual
                value: group.author.id

然后代码

<?php

use PhpAbac\AbacFactory;

$abac = AbacFactory::getAbac([
    'policy_rule_configuration.yml'
]);
$check = $abac->enforce('remove-group', $user, $group);

带缓存的示例

$check = $abac->enforce('edit-group', $user, $group, [
    'cache_result' => true,
    'cache_ttl' => 3600, // Time To Live in seconds
    'cache_driver' => 'memory' // memory is the default driver, you can avoid this option
]);

对于唯一规则的多个规则（规则集）示例。 每个规则都会被测试，并且当规则集中的第一个规则允许访问时，处理将停止

配置应该是（alcoolaw.yml）

attributes:
    main_user:
        class: PhpAbac\Example\User
        type: user
        fields:
            age:
                name: Age
            country:
                name: Code ISO du pays
rules:
    alcoollaw:
        -
            attributes:
                main_user.age:
                    comparison_type: numeric
                    comparison: isGreaterThan
                    value: 18
                main_user.country:
                    comparison_type: string
                    comparison: isEqual
                    value: FR
        -
            attributes:
                main_user.age:
                    comparison_type: numeric
                    comparison: isGreaterThan
                    value: 21
                main_user.country:
                    comparison_type: string
                    comparison: isNotEqual
                    value: FR

然后代码

<?php

use PhpAbac\AbacFactory;

$abac = AbacFactory::getAbac([
    'alcoollaw.yml'
]);
$check = $abac->enforce('alcoollaw', $user);

将规则根目录传递给Abac类的示例。 此功能允许直接将策略定义规则目录路径传递给Abac类，而无需添加到所有文件中

假设我们有3个yaml文件

• rest/conf/policy/user_def.yml
• rest/conf/policy/gunlaw.yml

PHP代码可以是

<?php

use PhpAbac\AbacFactory;

$abac = AbacFactory::getAbac([
    'user_def.yml',
    'gunlaw.yml',
],[],'rest/conf/policy/');
$check = $abac->enforce('gunlaw', $user);
 

贡献

如果你想贡献，请毫不犹豫地将该库分支并提交拉取请求。

你也可以报告问题，提出改进建议，随时提供建议和关于此库的反馈。

它还没有完成，还有很多功能要实现来使其变得更好。如果你想成为此库改进的一部分，请告诉我们！

另请参阅

• 支持此库的Symfony包