问题描述
我正在尝试创建一个 Casbin RBAC + ACL 模型。业务需求如下:
我们有一个组织,您可以在组织内创建文件夹。有像 Workspace 文件夹这样的特殊文件夹。基本上,文件夹是一种限制对某些资源(您“放入”这些文件夹的资源)的访问的方法。如果您可以访问某个文件夹,则您可以立即访问其所有子文件夹,除非被文件夹所有者明确覆盖。示例:
现在,我们还有功能和权限。角色是一组权限。功能示例:用户、计算机、脚本。权限示例:编辑用户、删除用户、发布脚本。
所以现在,我正在尝试将所有这些结合起来以提出正确的 casbin 模型。 根据我的理解,我需要定义角色及其权限、文件夹层次结构、哪些用户可以访问每个文件夹、用户具有哪些角色以及哪些资源位于文件夹。这样,当请求询问用户“John”是否可以发布脚本“Untitled”时,模型会查看“Untitled”在哪个文件夹中,然后查看“John”是否拥有该文件夹的权限以及发布脚本的权限(如果“John”具有“bot developer”角色)。
角色及其权限
p,role:workspaceAdmin,feature:user,edit
p,delete
p,feature:workspace,role:botDeveloper,feature:script,publish
因此,工作区管理员角色可以编辑或删除用户,可以编辑工作区。机器人开发者角色可以发布脚本。
文件夹层次结构
g2,folder:watson,script:untitled
g2,folder:xpto,folder:doc
g2,folder:infra
g2,folder:watson
g2,folder:projectX
g2,folder:projectY
g2,folder:infra,folder:project66
g2,folder:doc,folder:marcela
g,user:joba,folder:watson
用户具有哪些角色
g,role:botDeveloper
文件夹中有哪些资源
g2,script:untitled
设置好后,以下请求将返回 false,而我希望它是 true:user:joba,script:untitled,publish
。因为用户“joba”具有“发布”“功能”“脚本”的权限,有权访问文件夹“watson”,并且名为“untitled”的“脚本”属于该文件夹。
模型
[request_deFinition]
r = sub,obj,action
[policy_deFinition]
p = sub,action
[role_deFinition]
g = _,_
g2 = _,_
[policy_effect]
e = some(where (p.eft == allow)) && !some(where (p.eft == deny))
[matchers]
m = g(r.sub,p.sub) && g2(r.obj,p.obj) && r.act == p.act
政策
p,publish
g2,folder:marcela
g,folder:watson
g2,script:untitled
请求
user:joba,publish
解决方法
您没有描述 user
和 role
、script
和 feature
之间的关系
g,user:joba,role:botDeveloper
g2,folder:watson,script:untitled
g2,script:untitled,feature:script
并且模型文件action
应该是act
或者将r.act
和p.act
改为r.action
和p.action
我建议您阅读docs,谢谢