znfork/casbin

是一个为PHP项目提供的强大且高效的开放源代码访问控制库。

维护者

详细信息

github.com/znfork/php-casbin

源代码

资助包维护!
Open Collective

安装量: 1,262

依赖项: 1

建议者: 0

安全: 0

星标: 0

关注者: 1

分支: 127

v3.1.0 2020-12-24 07:07 UTC

Requires

Requires (Dev)

Apache-2.0 1b10db034ba33ae3ec927438e7ef688d9561266c

  • TechLee <techlee.woop@qq.com>

authorizationaclpermissionrbacaccess controlabaccasbin

This package is auto-updated.

Last update: 2024-09-30 01:57:39 UTC

README

Scrutinizer Code Quality Default Coverage Status Latest Stable Version Total Downloads License Gitter

文档 | 教程 | 扩展

最新消息: Laravel-authz 现已提供,是一个Laravel框架的授权库。

PHP-Casbin 是一个为PHP项目提供的强大且高效的开放源代码访问控制库。它支持基于各种 访问控制模型 进行授权。

Casbin支持的所有语言

安装

在您的项目 composer.json 中要求此包。这将下载该包

composer require casbin/casbin

开始使用

  1. 使用模型文件和政策文件创建一个新的Casbin执行器
require_once './vendor/autoload.php';

use Casbin\Enforcer;

$e = new Enforcer("path/to/model.conf", "path/to/policy.csv");
  1. 在访问发生之前,将执行钩子添加到您的代码中
$sub = "alice"; // the user that wants to access a resource.
$obj = "data1"; // the resource that is going to be accessed.
$act = "read"; // the operation that the user performs on the resource.

if ($e->enforce($sub, $obj, $act) === true) {
    // permit alice to read data1
} else {
    // deny the request, show an error
}

目录

支持的模型

  1. ACL(访问控制列表)
  2. 带有 超级用户 的ACL
  3. 无用户ACL:特别适用于没有身份验证或用户登录的系统。
  4. 无资源ACL:某些场景可能通过使用权限(如 write-articleread-log)来针对资源类型而不是单个资源。它不控制对特定文章或日志的访问。
  5. RBAC(基于角色的访问控制)
  6. 带资源角色的RBAC:用户和资源都可以同时拥有角色(或组)。
  7. 带域/租户的RBAC:用户可以为不同的域/租户拥有不同的角色集。
  8. ABAC(基于属性的访问控制):可以使用像 resource.Owner 这样的语法糖来获取资源的属性。
  9. RESTful:支持像 /res/*/res/:id 这样的路径和像 GETPOSTPUTDELETE 这样的HTTP方法。
  10. 拒绝覆盖:支持允许和拒绝授权,拒绝覆盖允许。
  11. 优先级:策略规则可以被优先级排序,就像防火墙规则一样。

它是如何工作的?

在php-casbin中,访问控制模型被抽象为基于 PERM元模型(策略、效果、请求、匹配器) 的CONF文件。因此,切换或升级项目的授权机制就像修改配置一样简单。您可以通过组合可用的模型来自定义自己的访问控制模型。例如,您可以在一个模型中将RBAC角色和ABAC属性组合在一起,并共享一组策略规则。

php-casbin中最基本和最简单的模型是ACL。ACL的模型CONF如下

# Request definition
[request_definition]
r = sub, obj, act

# Policy definition
[policy_definition]
p = sub, obj, act

# Policy effect
[policy_effect]
e = some(where (p.eft == allow))

# Matchers
[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

ACL模型的示例策略如下

p, alice, data1, read
p, bob, data2, write

这意味着

  • alice可以读取data1
  • bob可以写入data2

特性

PHP-Casbin所做的事情

  1. 以经典的形式强制执行策略 {主体,对象,动作} 或您定义的定制形式,支持允许和拒绝授权。
  2. 处理访问控制模型及其策略的存储。
  3. 管理角色-用户映射和角色-角色映射(即RBAC中的角色层次结构)。
  4. 支持内置超级用户,如 root管理员。超级用户可以执行任何操作而无需显式权限。
  5. 多个内置运算符以支持规则匹配。例如,keyMatch可以将资源键/foo/bar映射到模式/foo*

php-casbin 不做什么

  1. 身份验证(即用户登录时验证 用户名密码
  2. 管理用户或角色的列表。我相信项目本身管理这些实体更为方便。用户通常有自己的密码,而php-casbin并不是设计成密码容器。然而,php-casbin存储了RBAC场景中的用户-角色映射。

文档

https://casbin.org/docs/zh/概览

在线编辑器

您还可以使用在线编辑器(http://casbin.org/editor/)在您的网页浏览器中编写php-casbin模型和政策。它提供类似于编程语言IDE的功能,如语法高亮代码补全

教程

https://casbin.org/docs/zh/教程

策略管理

php-casbin提供两组API来管理权限

  • 管理API:提供对php-casbin策略管理全面支持的原始API。示例请参阅此处
  • RBAC API:一个更友好的RBAC API。此API是管理API的子集。RBAC用户可以使用此API简化代码。示例请参阅此处

我们还提供基于Web的模型管理和策略管理UI

model editor

policy editor

策略持久化

https://casbin.org/docs/zh/适配器

角色管理器

https://casbin.org/docs/zh/角色管理器

示例

中间件

Web框架的Authz中间件:https://casbin.org/docs/zh/中间件

我们的采用者

https://casbin.org/docs/zh/采用者

贡献者

本项目得以存在,多亏了所有贡献者。

支持者

感谢所有支持者!🙏 [成为支持者]

赞助商

通过成为赞助商来支持此项目。您的标志将在此处显示,并提供到您网站的链接。 [成为赞助商]

许可证

本项目采用Apache 2.0许可证

联系

如果您有任何问题或功能请求,请与我们联系。欢迎提交PR。