README

基于属性的访问控制实现库

简介

此库旨在在您的 PHP 应用程序中实现 ABAC 概念。

该概念是使用属性来管理访问控制：从用户、资源和环境。

它允许我们根据用户对象（以及可选的访问对象）的属性定义规则。

这些规则将在您的应用程序中进行检查，以确定用户是否被允许执行操作。

以下链接解释了 ABAC 是什么

• ABAC 简介
• NIST 规范

安装

使用 composer

composer require craftcamp/php-abac

然后您需要配置应用程序的属性和规则。

有关详细信息，请参阅 专用文档

文档

• 配置
• 依赖注入
• 访问控制
• 比较
• 缓存

使用示例

仅定义在规则中用户属性的示例

在此示例中，我们有一个代表当前用户的单个对象。

此对象具有属性，并提供获取器方法以访问值。

例如，我们可以编写

<?php

use PhpAbac\AbacFactory;

class User{
    protected $id;

    protected $isBanned;

    public function getId() {
        return $this->id;
    }

    public function setIsBanned($isBanned) {
        $this->isBanned = $isBanned;

        return $this;
    }

    public function getIsBanned() {
        return $this->isBanned;
    }
}

$user = new User();
$user->setIsBanned(true);

$abac = AbacFactory::getAbac([
    'policy_rule_configuration.yml'
]);
$abac->enforce('create-group', $user);

规则检查的属性可以是

同时定义用户和对象属性的示例

use PhpAbac\AbacFactory;

$abac = AbacFactory::getAbac([
    'policy_rule_configuration.yml'
]);
$check = $abac->enforce('read-public-group', $user, $group);

检查的属性可以是

动态属性的示例

<?php

use PhpAbac\AbacFactory;

$abac = AbacFactory::getAbac([
    'policy_rule_configuration.yml'
]);
$check = $abac->enforce('edit-group', $user, $group, [
    'dynamic-attributes' => [
        'group-owner' => $user->getId()
    ]
]);

引用属性的示例

配置应该是

attributes:
    group:
        class: MyApp\Model\Group
        type: resource
        fields:
            author.id:
                name: Author ID
    app_user:
        class: MyApp\Model\User
        type: user
        fields:
            id:
                name: User ID

rules:
    remove-group:
        attributes:
            app_user.id:
                comparison: object
                comparison_type: isFieldEqual
                value: group.author.id

然后代码

<?php

use PhpAbac\AbacFactory;

$abac = AbacFactory::getAbac([
    'policy_rule_configuration.yml'
]);
$check = $abac->enforce('remove-group', $user, $group);

使用缓存的示例

$check = $abac->enforce('edit-group', $user, $group, [
    'cache_result' => true,
    'cache_ttl' => 3600, // Time To Live in seconds
    'cache_driver' => 'memory' // memory is the default driver, you can avoid this option
]);

对于唯一规则（规则集）的多个规则（规则集）。每个规则都会被测试，并且当规则集中第一个允许访问的规则被测试时，处理将停止。

配置应该是（alcoolaw.yml）

attributes:
    main_user:
        class: PhpAbac\Example\User
        type: user
        fields:
            age:
                name: Age
            country:
                name: Code ISO du pays
rules:
    alcoollaw:
        -
            attributes:
                main_user.age:
                    comparison_type: numeric
                    comparison: isGreaterThan
                    value: 18
                main_user.country:
                    comparison_type: string
                    comparison: isEqual
                    value: FR
        -
            attributes:
                main_user.age:
                    comparison_type: numeric
                    comparison: isGreaterThan
                    value: 21
                main_user.country:
                    comparison_type: string
                    comparison: isNotEqual
                    value: FR

然后代码

<?php

use PhpAbac\AbacFactory;

$abac = AbacFactory::getAbac([
    'alcoollaw.yml'
]);
$check = $abac->enforce('alcoollaw', $user);

将规则根目录传递给 Abac 类的示例。此功能允许直接将策略定义规则目录路径传递给 Abac 类，而无需添加到所有文件中。

假设我们有 3 个 yaml 文件

• rest/conf/policy/user_def.yml
• rest/conf/policy/gunlaw.yml

PHP 代码可以是

<?php

use PhpAbac\AbacFactory;

$abac = AbacFactory::getAbac([
    'user_def.yml',
    'gunlaw.yml',
],[],'rest/conf/policy/');
$check = $abac->enforce('gunlaw', $user);
 

贡献

如果您想贡献，请不要犹豫，将库分叉并提交拉取请求。

您还可以报告问题，提出改进建议，自由提供建议和关于此库的反馈。

它还没有完成，还有许多功能要实现以使其更好。如果您想成为此库改进的一部分，请让我们知道！

另请参阅

• 支持此库的 Symfony 扩展包