php casbin

ドキュメント |チュートリアル |拡張機能

ニュース速報: Laravel フレームワークの認可ライブラリである Laravel-authz が利用可能になりました。

PHP-Casbin は、PHP プロジェクト用の強力かつ効率的なオープンソース アクセス制御ライブラリです。さまざまなアクセス制御モデルに基づいて認可を強制するためのサポートを提供します。

プロジェクトのcomposer.jsonでこのパッケージを必須にします。これにより、パッケージがダウンロードされます。

 composer require casbin/casbin

1. モデル ファイルとポリシー ファイルを備えた新しい Casbin エンフォーサ:

 require_once ' ./vendor/autoload.php ' ;

use Casbin  Enforcer ;

$ e = new Enforcer ( " path/to/model.conf " , " path/to/policy.csv " );

2. アクセスが発生する直前にコードに強制フックを追加します。

 $ sub = " alice " ; // the user that wants to access a resource .
$ obj = " data1 " ; // the resource that is going to be accessed .
$ act = " read " ; // the operation that the user performs on the resource .

if ( $ e -> enforce ( $ sub , $ obj , $ act ) === true ) {
    // permit alice to read data1
} else {
    // deny the request , show an error
}

• 対応機種
• 仕組みは?
• 特徴
• ドキュメント
• オンラインエディター
• チュートリアル
• ポリシー管理
• ポリシーの永続性
• 役割マネージャー
• 例
• ミドルウェア
• 私たちの採用者

1. ACL (アクセス制御リスト)
2. スーパーユーザーによるACL
3. ユーザーなしの ACL : 認証やユーザー ログインがないシステムに特に役立ちます。
4. リソースなしの ACL : 一部のシナリオでは、 write-article 、 read-logなどの権限を使用して、個々のリソースではなく、あるタイプのリソースをターゲットにする場合があります。特定の記事やログへのアクセスは制御されません。
5. RBAC (ロールベースのアクセス制御)
6. リソース ロールを使用した RBAC : ユーザーとリソースの両方が同時にロール (またはグループ) を持つことができます。
7. ドメイン/テナントを使用した RBAC : ユーザーは、異なるドメイン/テナントに対して異なる役割セットを持つことができます。
8. ABAC (属性ベースのアクセス制御) : resource.Ownerのような構文シュガーを使用して、リソースの属性を取得できます。
9. RESTful : /res/* 、 /res/:idなどのパスと、 GET 、 POST 、 PUT 、 DELETEなどの HTTP メソッドをサポートします。
10. Deny-override : 許可と拒否の両方の承認がサポートされており、拒否は許可をオーバーライドします。
11. 優先度: ポリシー ルールは、ファイアウォール ルールと同様に優先順位を付けることができます。

php-casbin では、アクセス制御モデルは、PERM メタモデル (ポリシー、エフェクト、リクエスト、マッチャー)に基づいて CONF ファイルに抽象化されます。したがって、プロジェクトの承認メカニズムの切り替えまたはアップグレードは、構成を変更するのと同じくらい簡単です。利用可能なモデルを組み合わせて、独自のアクセス制御モデルをカスタマイズできます。たとえば、RBAC ロールと ABAC 属性を 1 つのモデル内でまとめて取得し、1 セットのポリシー ルールを共有できます。

php-casbin の最も基本的かつ単純なモデルは ACL です。 ACL のモデル CONF は次のとおりです。

 # Request definition
[request_definition]
r = sub, obj, act

# Policy definition
[policy_definition]
p = sub, obj, act

# Policy effect
[policy_effect]
e = some(where ( p.eft == allow))

# Matchers
[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

ACL モデルのポリシーの例は次のとおりです。

 p, alice, data1, read
p, bob, data2, write

それは次のことを意味します:

• アリスはデータ1を読み取ることができます
• ボブはデータ2を書き込むことができます

php-casbin の機能:

1. 従来の{subject, object, action}フォームまたは定義したカスタマイズされたフォームでポリシーを適用します。許可と拒否の両方の承認がサポートされます。
2. アクセス制御モデルとそのポリシーのストレージを処理します。
3. ロールとユーザーのマッピングおよびロールとロールのマッピング (RBAC のロール階層とも呼ばれます) を管理します。
4. rootやadministratorなどの組み込みスーパーユーザーをサポートします。スーパーユーザーは、明示的な権限がなくても何でもできます。
5. ルールマッチングをサポートする複数の組み込み演算子。たとえば、 keyMatchリソース キー/foo/barパターン/foo*にマップできます。

php-casbin が実行できないこと:

1. 認証 (ユーザーがログインするときにusernameとpassword確認することとも呼ばれます)
2. ユーザーまたはロールのリストを管理します。プロジェクト自体がこれらのエンティティを管理する方が便利だと思います。通常、ユーザーは自分のパスワードを持っており、php-casbin はパスワード コンテナとして設計されていません。ただし、php-casbin には、RBAC シナリオのユーザーとロールのマッピングが保存されます。

https://casbin.org/docs/en/overview

オンライン エディター (http://casbin.org/editor/) を使用して、Web ブラウザーに php-casbin モデルとポリシーを記述することもできます。プログラミング言語の IDE と同様に、 syntax highlightingやcode completionなどの機能を提供します。

https://casbin.org/docs/tutorials

php-casbin は、アクセス許可を管理するための 2 つの API セットを提供します。

• 管理 API: php-casbin ポリシー管理を完全にサポートする基本的な API。
• RBAC API: RBAC 用のより使いやすい API。この API は Management API のサブセットです。 RBAC ユーザーは、この API を使用してコードを簡素化できます。

https://casbin.org/docs/en/adapters

https://casbin.org/docs/en/role-managers

Web フレームワーク用の Authz ミドルウェア: https://casbin.org/docs/middlewares

https://casbin.org/docs/adopters

このプロジェクトは、貢献してくださるすべての人々のおかげで存在します。

支援者の皆様、ありがとうございました！ 【後援者になる】

スポンサーになってこのプロジェクトを支援してください。あなたのロゴが Web サイトへのリンクとともにここに表示されます。 【スポンサーになる】

このプロジェクトは、Apache 2.0 ライセンスに基づいてライセンスされています。

問題や機能のご要望がございましたら、お問い合わせください。 PRも大歓迎です。

• https://github.com/php-casbin/php-casbin/issues
• [email protected]
• テンセントQQグループ：546057381