Cerbos动态权限管理：基于ACL模式的精细化访问控制实践

2025-06-18 19:08:32作者：郁楠烈Hubert

Cerbos is the open core, language-agnostic, scalable authorization solution that makes user permissions and authorization simple to implement and manage by writing context-aware access control policies for your application resources.

项目地址：https://gitcode.com/gh_mirrors/ce/cerbos

核心需求场景

在现代应用开发中，动态权限管理是常见需求。典型场景包括：

需要临时限制特定用户（如ID=10）访问某资源
后续可能扩展限制范围（如增加ID=12）
后期又需要解除某些用户的限制（如移除ID=10）

Cerbos的解决方案

Cerbos作为策略决策引擎，通过与业务数据层配合可实现灵活的动态权限控制。推荐采用ACL（访问控制列表）模式实现：

技术架构设计

数据存储层：
- 建立资源-用户映射关系表
- 支持高效的大规模集合成员检查
- 示例数据结构：
```
{
  "resource_id": "res_001",
  "denied_users": [10, 12],
  "allowed_ips": ["192.168.1.0/24"]
}
```
属性注入层：
- 查询当前用户是否在ACL限制列表中
- 将结果注入请求上下文属性
- 示例属性：
```
{
  "is_in_acl": false,
  "request_ip": "192.168.1.100"
}
```

策略决策层：

编写复合条件的Cerbos策略规则

示例策略片段：

condition:
  all:
    - expr: P.attr.is_in_acl == false
    - expr: P.attr.request_ip in resource.allowed_ips

高级实践建议

性能优化：
- 对高频访问的ACL实施缓存策略
- 考虑使用布隆过滤器预处理大规模用户集
上下文扩展：
- 结合时间属性实现时段控制
- 集成设备指纹等安全因子
审计追踪：
- 记录ACL变更历史
- 关联策略决策日志实现完整溯源

典型实现模式

# 伪代码示例
def check_access(user_id, resource):
    # 查询ACL数据库
    acl = db.query_acl(resource)
    
    # 构建决策上下文
    context = {
        "is_in_acl": user_id in acl.denied_users,
        "request_time": datetime.now(),
        # 其他上下文属性...
    }
    
    # 调用Cerbos决策
    return cerbos.check(
        principal=user,
        resource=resource,
        actions=["view"],
        context=context
    )