Casbin实现跨组织用户可见性控制的权限模型设计

概述

在企业级应用中，不同组织间的用户可见性控制是一个常见的权限管理需求。本文将以Casbin权限管理框架为例，探讨如何设计一个能够实现以下功能的权限模型：

1. 同一组织内的用户可以相互查看
2. 不同组织间的用户可见性取决于组织间是否存在有效合约
3. 用户需要具备特定权限才能查看其他组织的用户

业务场景分析

假设我们有以下业务需求：

• 系统中有多个组织(org1, org2, org3等)
• 每个组织有多个用户(user1, user2等)
• 默认情况下，同一组织内的用户可以相互查看
• 不同组织间的用户可见性需要满足两个条件：
  • 两个组织之间存在有效合约
  • 查看方用户在被查看方组织中具有"查看用户"的权限

权限模型设计

基础模型

我们采用RBAC(基于角色的访问控制)模型作为基础，并对其进行扩展：

[request_definition]
r = sub, obj, act

[policy_definition]
p = sub, obj, act

[role_definition]
g = _, _  # 用户-组织关系
g2 = _, _ # 组织-角色关系

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = g(r.obj, p.sub)

策略规则设计

策略规则分为几个部分：

1. 组织间合约关系：

   p, org::org2, org::org1, read
   p, org::org1, org::org2, read
   p, org::org3, org::org3, read
   

2. 用户组织分配：

   g, org1user1, org::org1
   g, org1user2, org::org1
   g, org2user1, org::org2
   g, org2user2, org::org2
   g, org3user1, org::org3
   g, org3user2, org::org3
   

3. 权限角色定义：

   g2, org::org1, role::org1::read_users
   g2, org::org2, role::org2::read_users
   g2, role::org1::read_users, read
   g2, role::org2::read_users, read
   

4. 用户权限分配：

   g2, org1user1, role::org2::read_users
   

实现方案优化

基础模型虽然可以实现功能，但在处理跨组织可见性时逻辑不够直观。我们可以采用更清晰的实现方式：

方案一：使用自定义函数

通过自定义函数判断组织间是否存在合约：

pub fn is_active_contract_exists(sub_org: ImmutableString, obj_org: ImmutableString) -> bool {
    let orgs_with_contract = ["org::org1".into(), "org::org2".into()];
    orgs_with_contract.contains(&sub_org)
        && orgs_with_contract.contains(&obj_org)
        && sub_org != obj_org
}

对应的模型文件：

[request_definition]
r = sub, act, obj

[policy_definition]
p = obj, act

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = \
r.act == p.act && is_active_contract_exists(r.sub.org_name, r.obj.org_name) && r.sub.public_user == "true" || \
r.act == p.act && r.sub.org_name == r.obj.org_name

方案二：扩展属性模型(ABAC)

更优雅的解决方案是使用属性基访问控制(ABAC)：

[request_definition]
r = sub, obj, act

[policy_definition]
p = sub_org, obj_org, act

[matchers]
m = (r.sub.org == r.obj.org) || (p.sub_org == r.sub.org && p.obj_org == r.obj.org && p.act == r.act)

策略规则：

p, org1, org2, read
p, org2, org1, read
p, org3, org3, read

最佳实践建议

1. 明确业务边界：清晰定义"组织"、"合约"、"可见性"等业务概念的边界
2. 分层设计：将组织关系、用户权限分层管理，避免策略过于复杂
3. 性能考虑：对于大规模组织，考虑使用缓存优化权限检查性能
4. 审计日志：记录所有跨组织访问行为，便于安全审计
5. 动态更新：设计合约状态的动态更新机制，确保权限实时生效

总结

通过Casbin实现跨组织用户可见性控制，我们可以灵活地组合RBAC和ABAC模型，满足复杂的业务需求。关键在于准确建模业务规则，并通过适当的策略组合实现精细化的权限控制。本文介绍的两种方案各有优劣，实际应用中可根据具体场景选择或组合使用。