nick-scalewest/php-casbin

是专为 PHP 项目设计的一个强大而高效的开放源代码访问控制库。

维护者

详情

github.com/nick-scalewest/php-casbin

源代码

资助包维护!
Open Collective

安装: 169

依赖: 2

建议者: 0

安全性: 0

星标: 0

关注者: 0

分支: 127

1.0.1 2024-03-28 11:27 UTC

Requires

Requires (Dev)

Apache-2.0 3b97653598fb8f24eac8c9375e345540612d9249

  • TechLee <techlee.woop@qq.com>

authorizationaclpermissionrbacaccess controlabaccasbin

This package is auto-updated.

Last update: 2024-09-28 12:26:35 UTC

README

Scrutinizer Code Quality Default Coverage Status Latest Stable Version Total Downloads License Gitter

文档 | 教程 | 扩展

最新消息: Laravel-authz 现已可用,这是一个 Laravel 框架的授权库。

PHP-Casbin 是一个强大的、高效的开放源代码访问控制库,适用于 PHP 项目。它支持根据各种 访问控制模型 执行授权。

Casbin 所支持的编程语言

安装

在项目的 composer.json 中需要此包。这将下载该包

composer require casbin/casbin

开始使用

  1. 使用模型文件和政策文件创建一个新的 Casbin 执法器
require_once './vendor/autoload.php';

use Casbin\Enforcer;

$e = new Enforcer("path/to/model.conf", "path/to/policy.csv");
  1. 在访问发生之前,将执行钩子添加到您的代码中
$sub = "alice"; // the user that wants to access a resource.
$obj = "data1"; // the resource that is going to be accessed.
$act = "read"; // the operation that the user performs on the resource.

if ($e->enforce($sub, $obj, $act) === true) {
    // permit alice to read data1
} else {
    // deny the request, show an error
}

目录

支持的模型

  1. ACL (访问控制列表)
  2. 带有 超级用户 的 ACL
  3. 无用户的 ACL:特别适用于没有身份验证或用户登录的系统。
  4. 无资源的 ACL:某些场景可能通过使用权限(如 write-articleread-log)来针对一种资源类型,而不是单个资源。它不控制对特定文章或日志的访问。
  5. RBAC (基于角色的访问控制)
  6. 带有资源角色的 RBAC:用户和资源可以同时具有角色(或组)。
  7. 带有域/租户的 RBAC:用户可以为不同的域/租户有不同的角色集。
  8. ABAC (基于属性的访问控制):可以使用如 resource.Owner 这样的语法糖来获取资源的属性。
  9. RESTful:支持路径如 /res/*/res/:id 和 HTTP 方法如 GETPOSTPUTDELETE
  10. 拒绝覆盖:支持允许和拒绝授权,拒绝覆盖允许。
  11. 优先级:策略规则可以像防火墙规则一样进行优先级排序。

它是如何工作的?

在 php-casbin 中,访问控制模型被抽象为基于 PERM 元模型(策略、效果、请求、匹配器) 的 CONF 文件。因此,切换或升级项目的授权机制就像修改配置一样简单。您可以通过组合可用的模型来自定义自己的访问控制模型。例如,您可以在一个模型中结合 RBAC 角色和 ABAC 属性,并共享一组策略规则。

php-casbin 中最基本、最简单的模型是 ACL。ACL 的模型 CONF 是

# Request definition
[request_definition]
r = sub, obj, act

# Policy definition
[policy_definition]
p = sub, obj, act

# Policy effect
[policy_effect]
e = some(where (p.eft == allow))

# Matchers
[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

ACL 模型的示例策略是

p, alice, data1, read
p, bob, data2, write

这意味着

  • alice 可以读取 data1
  • bob 可以写入 data2

特性

PHP-Casbin 所做之事

  1. 根据您定义的格式执行策略,可以是经典的 {主体, 对象, 动作} 形式或自定义形式,同时支持允许和拒绝授权。
  2. 处理访问控制模型及其策略的存储。
  3. 管理角色-用户映射和角色-角色映射(在RBAC中称为角色层次结构)。
  4. 支持内置超级用户如 root管理员。超级用户可以无权限执行任何操作。
  5. 多个内置运算符以支持规则匹配。例如,keyMatch 可以将资源键 /foo/bar 映射到模式 /foo*

php-casbin 不做的是

  1. 身份验证(即在用户登录时验证 用户名密码
  2. 管理用户或角色的列表。我相信项目本身管理这些实体更为方便。用户通常有自己的密码,php-casbin 并未设计为密码容器。然而,php-casbin 在 RBAC 场景下存储用户-角色映射。

文档

https://casbin.org/docs/en/overview

在线编辑器

您还可以使用在线编辑器(http://casbin.org/editor/)在您的网络浏览器中编写您的 php-casbin 模型和策略。它提供诸如 语法高亮代码补全 等功能,就像编程语言的 IDE 一样。

教程

https://casbin.org/docs/tutorials

策略管理

php-casbin 提供两套 API 来管理权限

  • 管理 API:提供对 php-casbin 策略管理全面支持的原始 API。
  • RBAC API:一个更友好的 RBAC API。此 API 是管理 API 的子集。RBAC 用户可以使用此 API 来简化代码。

model editor

policy editor

策略持久化

https://casbin.org/docs/en/adapters

角色管理器

https://casbin.org/docs/en/role-managers

示例

中间件

用于 Web 框架的 Authz 中间件:https://casbin.org/docs/en/middlewares

我们的采用者

https://casbin.org/docs/en/adopters

贡献者

该项目之所以存在,归功于所有贡献者。

支持者

感谢所有支持者!🙏 [成为支持者]

赞助商

通过成为赞助商来支持此项目。您的徽标将在此处显示,并链接到您的网站。 [成为赞助商]

许可证

该项目采用 Apache 2.0 许可证

联系

如果您有任何问题或功能请求,请与我们联系。PR 欢迎接受。