Casbin中实现跨组织用户可见性控制的实践

概述

在企业级应用中，跨组织用户可见性控制是一个常见的需求。本文探讨了如何使用Casbin这一强大的访问控制框架来实现这一功能，特别是针对不同组织间用户相互可见性的精细控制。

业务场景分析

典型的业务场景包含以下需求：

1. 同一组织内的用户默认相互可见
2. 不同组织间的用户可见性需要满足两个条件：
   • 组织间存在有效合约
   • 用户具有对方组织的访问权限

这种场景在SaaS平台、企业协作系统等应用中十分常见，需要精细的访问控制策略。

技术实现方案

基础模型设计

在Casbin中，我们可以通过以下模型设计来实现这一需求：

[request_definition]
r = sub, obj, act

[policy_definition]
p = sub, obj, act

[role_definition]
g = _, _
g2 = _, _

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = g(r.obj, p.sub)

策略规则设计

策略规则需要包含三个关键部分：

1. 组织间的合约关系
2. 用户与组织的关联
3. 用户对组织的访问权限

示例策略如下：

p, org::org2, org::org1, read
p, org::org1, org::org2, read
p, org::org3, org::org3, read

g, org1user1, org::org1
g, org1user2, org::org1
g, org2user1, org::org2
g, org2user2, org::org2
g, org3user1, org::org3
g, org3user2, org::org3

g2, org::org1, role::org1::read_users
g2, org::org2, role::org2::read_users
g2, role::org1::read_users, read
g2, role::org2::read_users, read

g2, org1user1, role::org2::read_users

高级实现方案

对于更复杂的场景，可以使用自定义函数来增强判断逻辑。例如，通过添加is_active_contract_exists函数来动态判断组织间是否存在有效合约：

pub fn is_active_contract_exists(sub_org: ImmutableString, obj_org: ImmutableString) -> bool {
    let orgs_with_contract = ["org::org1".into(), "org::org2".into()];
    orgs_with_contract.contains(&sub_org)
        && orgs_with_contract.contains(&obj_org)
        && sub_org != obj_org
}

对应的模型可以调整为：

[request_definition]
r = sub, act, obj

[policy_definition]
p = obj, act

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = \
r.act == p.act && is_active_contract_exists(r.sub.org_name, r.obj.org_name) && r.sub.public_user == "true" || \
r.act == p.act && r.sub.org_name == r.obj.org_name

最佳实践建议

1. 分层设计：将组织关系、用户权限等不同维度的控制分层设计，保持策略清晰
2. 性能考虑：对于大规模组织，考虑策略的加载和匹配性能
3. 可扩展性：预留接口支持未来可能新增的可见性条件
4. 审计日志：记录重要的可见性控制决策，便于后续审计

总结

通过Casbin的灵活策略模型，我们可以优雅地实现跨组织用户可见性控制。无论是简单的组织内可见性，还是复杂的跨组织合约条件下的访问控制，Casbin都提供了强大的支持能力。实际应用中，可以根据具体业务需求选择基础策略方案或增强的自定义函数方案。