maxinyugh/php-casbin

为PHP项目提供强大且高效的开放源代码访问控制库。

维护者

详细信息

github.com/maxinyugh/php-casbin

源代码

安装: 24

依赖者: 1

建议者: 0

安全: 0

星标: 1

关注者: 1

分支: 127

v1.0.1 2019-08-30 06:20 UTC

Requires

Requires (Dev)

Apache-2.0 1ed0f3dbe23735fc4acd7842885fb8d7aed0ed42

  • maxinyu <408567964.woop@qq.com>

authorizationaclpermissionrbacaccess controlabaccasbin

This package is auto-updated.

Last update: 2024-09-29 05:09:06 UTC

README

StyleCI Build Status Coverage Status Latest Stable Version Total Downloads License Gitter

中文文档

重大新闻: Laravel-authz 现已可用,是 Laravel 框架的授权库。

PHP-Casbin 是为PHP项目提供的强大且高效的开放源代码访问控制库。它支持基于各种 访问控制模型 的授权。

Casbin支持的所有语言

安装

在项目的 composer.json 文件中添加此包。这将下载该包

composer require casbin/casbin

入门

  1. 使用模型文件和策略文件创建一个Casbin执行器
require_once './vendor/autoload.php';

use Casbin\Enforcer;

$e = new Enforcer("path/to/model.conf", "path/to/policy.csv");
  1. 在访问发生之前,将执行钩子添加到您的代码中
$sub = "alice"; // the user that wants to access a resource.
$obj = "data1"; // the resource that is going to be accessed.
$act = "read"; // the operation that the user performs on the resource.

if ($e->enforce($sub, $obj, $act) === true) {
    // permit alice to read data1
} else {
    // deny the request, show an error
}

目录

支持的模式

  1. ACL(访问控制列表)
  2. 超级用户 的ACL
  3. 无用户的ACL:特别适用于没有身份验证或用户登录的系统。
  4. 无资源的ACL:某些场景可能通过使用如 write-articleread-log 等权限来针对资源类型而不是单个资源。它不控制对特定文章或日志的访问。
  5. RBAC(基于角色的访问控制)
  6. 带资源角色的RBAC:用户和资源都可以同时拥有角色(或组)。
  7. 带域/租户的RBAC:用户可以为不同的域/租户拥有不同的角色集。
  8. ABAC(基于属性的访问控制):可以使用如 resource.Owner 这样的语法糖来获取资源的属性。
  9. RESTful:支持如 /res/*/res/:id 这样的路径和如 GETPOSTPUTDELETE 这样的HTTP方法。
  10. Deny-override:支持允许和拒绝授权,拒绝覆盖允许。
  11. 优先级:策略规则可以像防火墙规则一样进行优先级排序。

它是如何工作的?

在php-casbin中,访问控制模型被抽象为一个基于 PERM 元模型(策略,效果,请求,匹配器) 的CONF文件。因此,切换或升级项目的授权机制就像修改配置一样简单。您可以通过组合可用的模型来自定义自己的访问控制模型。例如,您可以在一个模型中结合RBAC角色和ABAC属性,并共享一组策略规则。

php-casbin中最基本和最简单的模型是ACL。ACL的模型CONF如下

# Request definition
[request_definition]
r = sub, obj, act

# Policy definition
[policy_definition]
p = sub, obj, act

# Policy effect
[policy_effect]
e = some(where (p.eft == allow))

# Matchers
[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

ACL模型的策略示例

p, alice, data1, read
p, bob, data2, write

这意味着

  • alice可以读取data1
  • bob可以写入data2

功能

php-casbin所做的工作

  1. 以经典 {subject, object, action} 形式或您定义的定制形式强制执行策略,支持允许和拒绝授权。
  2. 处理访问控制模型及其策略的存储。
  3. 管理角色-用户映射和角色-角色映射(即RBAC中的角色层次结构)。
  4. 支持内置的超级用户如 rootadministrator。超级用户可以无权限地做任何事情。
  5. 支持规则匹配的多个内置操作符。例如,keyMatch可以将资源键/foo/bar映射到模式/foo*

php-casbin不做什么

  1. 身份验证(即当用户登录时验证usernamepassword
  2. 管理用户或角色列表。我认为项目本身管理这些实体更为方便。用户通常有自己的密码,php-casbin并非设计为密码容器。然而,php-casbin存储用户-角色映射,用于RBAC场景。

文档

https://casbin.org/docs/en/overview

在线编辑器

您还可以使用在线编辑器(http://casbin.org/editor/)在您的网络浏览器中编写php-casbin模型和政策。它提供诸如语法高亮代码补全等功能,就像编程语言的IDE一样。

教程

https://casbin.org/docs/en/tutorials

策略管理

php-casbin提供两组API来管理权限

  • 管理API:提供对php-casbin策略管理全面支持的原始API。示例见此处
  • RBAC API:一个更友好的RBAC API。此API是管理API的一个子集。RBAC用户可以使用此API简化代码。示例见此处

我们还提供基于Web的模型管理和策略管理UI

model editor

policy editor

策略持久化

https://casbin.org/docs/en/adapters

角色管理器

https://casbin.org/docs/en/role-managers

示例

中间件

用于Web框架的Authz中间件:https://casbin.org/docs/en/middlewares

我们的采用者

https://casbin.org/docs/en/adopters

贡献者

这个项目之所以存在,多亏了所有贡献者。

支持者

感谢所有支持者!🙏 [成为支持者]

赞助商

通过成为赞助商来支持此项目。您的标志将在此处显示,并提供到您网站的链接。[成为赞助商]

许可证

本项目采用Apache 2.0许可证

联系方式

如果您有任何问题或功能请求,请与我们联系。PR欢迎。