Casbin中实现基于角色与授权的双重权限控制模型

引言

在权限管理系统设计中，我们经常需要处理复杂的权限控制场景。Casbin作为一个强大的访问控制框架，提供了灵活的权限管理能力。本文将探讨如何在Casbin中实现一种特殊的权限控制模型：要求用户必须同时具备特定角色和相关授权才能获得访问权限。

问题背景

在实际应用中，我们可能会遇到这样的需求：

• 系统定义了一套完整的角色体系（如管理员、审计员等）
• 同时系统功能被划分为不同的授权包（如基础版、高级版等）
• 用户需要同时具备相应角色和相应授权才能访问特定功能

例如：

• 管理员角色理论上可以访问所有功能
• 但实际管理员用户只能访问其已购买的授权包中的功能
• 审计员角色只能读取数据，且同样受授权包限制

传统解决方案的局限性

最初尝试使用Casbin的标准RBAC模型，通过定义两个不同的角色组（g和g2）分别表示角色和授权，然后在匹配器中要求两者同时满足。但这种方案存在以下问题：

1. Casbin的匹配器逻辑会独立评估每个角色组，无法确保两个角色组同时匹配
2. 策略效果(e)的默认实现是"任一允许即通过"，不符合"必须全部满足"的需求

改进方案：基于域的多层权限控制

经过深入分析，可以采用Casbin的"带域的RBAC"模型来解决这个问题。核心思路是：

1. 将角色和授权视为两个不同的"域"
2. 在请求定义中增加域字段
3. 通过两次独立的权限检查来确保双重验证

模型定义

[request_definition]
r = sub, dom, obj, act

[policy_definition]
p = sub, dom, obj, act

[role_definition]
g = _, _, _

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = g(r.sub, p.sub, r.dom) && r.obj == p.obj && r.act == p.act

策略示例

p, basic, entitlement, basic_feature, read
p, basic, entitlement, basic_feature, write
p, premium, entitlement, premium_feature, read
p, premium, entitlement, premium_feature, write

p, admin, role, basic_feature, read
p, admin, role, basic_feature, write
p, admin, role, premium_feature, read
p, admin, role, premium_feature, write
p, auditor, role, basic_feature, read
p, auditor, role, premium_feature, read

实现原理

1. 将角色和授权分别放在不同的域中（role和entitlement）
2. 对每个权限请求，需要分别在两个域中检查：
   • 在role域中检查用户是否具备相应角色权限
   • 在entitlement域中检查用户是否具备相应授权
3. 只有两个域都返回允许时，才最终授予权限

实际应用示例

func TestPermissionCheck(t *testing.T) {
    e, _ := NewEnforcer("model.conf", "policy.csv")

    // 辅助函数：执行双重检查
    testCheck := func(sub, obj, act string, expect bool) {
        roleCheck, _ := e.Enforce(sub, "role", obj, act)
        entCheck, _ := e.Enforce(sub, "entitlement", obj, act)
        if (roleCheck && entCheck) != expect {
            t.Errorf("%s访问%s的%s权限检查失败", sub, obj, act)
        }
    }

    // 测试用例
    testCheck("admin_user", "premium_feature", "write", true)  // 有admin角色和premium授权
    testCheck("free_admin", "premium_feature", "read", false)   // 有admin角色但无premium授权
    testCheck("auditor", "basic_feature", "write", false)      // auditor角色无写权限
}

方案优势

1. 清晰分离角色和授权概念，便于管理
2. 保持Casbin标准模型，无需自定义匹配逻辑
3. 策略配置直观易懂
4. 易于扩展，可支持更复杂的权限组合

总结

通过巧妙运用Casbin的域模型，我们成功实现了角色与授权的双重权限控制。这种方案不仅解决了原始问题，还提供了良好的可维护性和扩展性。在实际应用中，可以根据具体需求调整域的设计，构建更加精细的权限控制系统。

对于需要实现类似权限模型的开发者，建议先明确区分系统中的不同权限维度，然后利用Casbin的域特性将它们组织起来，最后通过组合检查来实现复杂的权限逻辑。