Cerbos动态权限管理：基于ACL模式的精细化访问控制实践

核心需求场景

在现代应用开发中，动态权限管理是常见需求。典型场景包括：

• 需要临时限制特定用户（如ID=10）访问某资源
• 后续可能扩展限制范围（如增加ID=12）
• 后期又需要解除某些用户的限制（如移除ID=10）

Cerbos的解决方案

Cerbos作为策略决策引擎，通过与业务数据层配合可实现灵活的动态权限控制。推荐采用ACL（访问控制列表）模式实现：

技术架构设计

1. 数据存储层：

   • 建立资源-用户映射关系表
   • 支持高效的大规模集合成员检查
   • 示例数据结构：

     {
       "resource_id": "res_001",
       "denied_users": [10, 12],
       "allowed_ips": ["192.168.1.0/24"]
     }
     

2. 属性注入层：

   • 查询当前用户是否在ACL限制列表中
   • 将结果注入请求上下文属性
   • 示例属性：

     {
       "is_in_acl": false,
       "request_ip": "192.168.1.100"
     }
     

3. 策略决策层：

   • 编写复合条件的Cerbos策略规则
   • 示例策略片段：

     condition:
       all:
         - expr: P.attr.is_in_acl == false
         - expr: P.attr.request_ip in resource.allowed_ips
     

高级实践建议

1. 性能优化：

   • 对高频访问的ACL实施缓存策略
   • 考虑使用布隆过滤器预处理大规模用户集

2. 上下文扩展：

   • 结合时间属性实现时段控制
   • 集成设备指纹等安全因子

3. 审计追踪：

   • 记录ACL变更历史
   • 关联策略决策日志实现完整溯源

典型实现模式

# 伪代码示例
def check_access(user_id, resource):
    # 查询ACL数据库
    acl = db.query_acl(resource)
    
    # 构建决策上下文
    context = {
        "is_in_acl": user_id in acl.denied_users,
        "request_time": datetime.now(),
        # 其他上下文属性...
    }
    
    # 调用Cerbos决策
    return cerbos.check(
        principal=user,
        resource=resource,
        actions=["view"],
        context=context
    )

这种架构既保持了Cerbos策略的声明式优势，又通过外部数据源实现了动态权限管理，适合需要频繁调整访问控制的业务场景。