casbin的使用及数据库关联Python

原创 已于 2025-07-08 15:20:56 修改 · 1.2k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #前端

于 2025-07-08 14:58:18 首次发布
Python3.11

Python3.11

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

Casbin 是一个强大的,高效的开源访问控制框架,其权限管理机制支持多种访问控制模型,各个编程语言都对 casbin 有支持

目前我的所有项目,都是基于简单的角色管理来的

分为了三类,未登录能访问的,普通用户能访问的,管理员能访问的

后续做 rbac 系统,那就会把角色和访问控制结合起来,casbin 就可以更好的帮助我去做这个事情

网上关于 casbin 的文档其实还挺多的,但是他们的案例很多都不太适合,新手第一次看很容易看懵

这个文档就结合实际的 web 中的访问控制来进行讲解

基本使用

下载

pip install casbin

casbin 有两个部分组成,一个是配置文件,一个是规则集

初次学习,先把 demo 跑通,先不用搞懂这两个东西是什么

准备两个文件,model.conf 和 policy.csv 文件

model.conf

[request_definition]
r = sub, obj, act
​
[policy_definition]
p = sub, obj, act
​
[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act
​
[policy_effect]
e = some(where (p.eft == allow))

policy.csv

p, zhangsan, /index, GET
p, zhangsan, /home, GET
p, zhangsan, /users, GET
p, zhangsan, /users, POST
p, wangwu, /index, GET
p, wangwu, /home, GET

demo

import casbin
import logging
​
def check(e, sub, obj, act):
    ok = e.enforce(sub, obj, act)
    if ok:
        print(f"{sub} CAN {act} {obj}")
    else:
        print(f"{sub} CANNOT {act} {obj}")
​
def main():
    # 初始化日志配置
    logging.basicConfig(level=logging.INFO)
    
    try:
        # 创建Casbin enforcer
        e = casbin.Enforcer("./model.conf", "./policy.csv")
    except Exception as err:
        logging.fatal(f"NewEnforcer failed: {err}")
        return
​
    # 执行权限检查
    check(e, "zhangsan", "/index", "GET")
    check(e, "zhangsan", "/home", "GET")
    check(e, "zhangsan", "/users", "POST")
    check(e, "wangwu", "/users", "POST")
​
if __name__ == "__main__":
    main()

正常情况下,你会得到

zhangsan CAN GET /index
zhangsan CAN GET /home
zhangsan CAN POST /users
wangwu CANNOT POST /users

Casbin 配置文件

最开始看到 model.conf 和 policy.csv 文件,估计还是一脸懵的

那让我们来看看 casbin 的配置文件

Request

代表请求。看我们上面的例子:

[request_definition]
r = sub, obj, act

代表一个请求有三个标准元素,请求主体,请求对象,请求操作

以用户 fengfeng 用 GET 请求 /api/users 接口为例:

请求主体就是 fengfeng

请求对象就是 /api/users

请求操作就是 GET

Policy 和 Policy_Rule

Policy 代表策略,它表示具体的权限定义的规则是什么

在 policy.csv 文件中定义的策略就是 policy_rule。它和 Policy 是一一对应的。

例如我们上面的例子:

[policy_definition]
p = sub, obj, act

我们定义了 policy 的规则如此,那么我们在 policy.csv 中每 ⼀⾏ 定义的 policy_rule 就必须和这个属性 ⼀⼀ 对应

Matcher

有请求,有规则,那么请求是否匹配某个规则,则是 matcher 进行判断的,例如:

[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

表示当

r.sub == p.sub && r.obj == p.obj && r.act == p.act

的时候返回 true,否则返回 false,也就是三者完全匹配的时候,返回 true

Effect

Effect ⽤ 来判断如果 ⼀ 个请求满 ⾜ 了规则,是否需要同意请求。它的规则 ⽐ 较复杂 ⼀ 些。

比如我们这里:

[policy_effect]
e = some(where (p.eft == allow))

这里的 some 表示括号中的表达式个数大于等于 1 就行。 我们这句话的意思就是将 request 和所有 policy 比对完之后,所有 policy 的策略结果(p.eft)为 allow 的个数 >= 1,整个请求的策略就是 true

访问控制模型

除了文档中提到的,casbin 还支持多种访问控制模型

Supported Models | Casbin

ACL 访问控制

ACL 是最早也是最基本的一种访问控制机制,它的原理非常简单:

每一项资源,都配有一个列表,这个列表记录的就是哪些用户可以对这项资源执行 CRUD 中的那些操作。当系统试图访问这项资源时,会首先检查这个列表中是否有关于当前用户的访问权限,从而确定当前用户可否执行相应的操作。总得来说,ACL 是一种面向资源的访问控制模型,它的机制是围绕 资源 展开的。

上面的 demo 就是 acl 访问控制的例子

增加规则

e.AddPolicy("wangwu", "/users", "POST")
e.SavePolicy()

删除规则

e.RemovePolicy("wangwu", "/users", "POST")
e.SavePolicy()

RBAC 访问控制

ACL 模型在用户和资源都比较少的情况下没什么问题,但是用户和资源量一大,ACL 就会变得异常繁琐

想象一下,每次新增一个用户,都要把他需要的权限重新设置一遍是多么地痛苦

RBAC(role-based-access-control)模型通过引入角色(role)这个中间层来解决这个问题

每个用户都属于一个角色,例如开发者、管理员、运维等,每个角色都有其特定的权限,权限的增加和删除都通过角色来进行

这样新增一个用户时,我们只需要给他指派一个角色,他就能拥有该角色的所有权限

修改角色的权限时,属于这个角色的用户权限就会相应的修改

mode.conf文件

[request_definition]
r = sub, obj, act
​
[policy_definition]
p = sub, obj, act
​
[role_definition]
g = _, _
​
[policy_effect]
e = some(where (p.eft == allow))
​
[matchers]
m = g(r.sub, p.sub) && r.obj == p.obj && r.act == p.act

policy.csv

p, admin, /index, GET
p, admin, /home, GET
p, admin, /users, GET
p, admin, /users, POST
p, yunwei, /index, GET
p, yunwei, /home, GET
g, zhangsan, admin
g, wangwu, yunwei

判断的代码还是一样的

check(e, "zhangsan", "/index", "GET")
check(e, "zhangsan", "/home", "GET")
check(e, "zhangsan", "/users", "POST")
check(e, "wangwu", "/users", "POST")

但是有了角色之后,系统新增一个用户,只需要给这个用户分配角色

然后可以在角色管理中新增一个角色,然后设置角色的访问权限,可以访问哪些接口

在这个模式下,一个用户是可以有多个角色的,例如

p, admin, /index, GET
p, admin, /home, GET
p, admin, /users, GET
p, admin, /users, POST
p, yunwei, /index, GET
p, yunwei, /home, GET
g, zhangsan, admin
g, wangwu, yunwei
g, wangwu, admin

增加角色

e.AddPolicy("kuaiji", "/users", "GET")
e.SavePolicy()

增加用户-角色对应关系

e.AddRoleForUser("zhangsan", "kuaiji")
e.SavePolicy()

删除用户-角色对应关系

e.RemoveGroupingPolicy("zhangsan", "kuaiji")
e.SavePolicy()

删除角色

e.RemovePolicy("kuaiji", "/users", "GET")
e.SavePolicy()

结合数据库使用

其实基于上面的rbac,就可以做一个角色访问控制功能了

但是目前整个规则集是存储在文件中的

实际应用中肯定还是会把casbin的规则集放到数据库里面

import casbin
from casbin_sqlalchemy_adapter import Adapter
from sqlalchemy import create_engine
from sqlalchemy.orm import sessionmaker
import logging
from datetime import datetime
​
# 初始化日志配置
logging.basicConfig(
    level=logging.INFO,
    format='%(asctime)s - %(levelname)s - %(message)s',
    datefmt='%Y-%m-%d %H:%M:%S'
)
logger = logging.getLogger(__name__)
​
class RBACManager:
    def __init__(self):
        self.engine = None
        self.session = None
        self.enforcer = None
        self.adapter = None
        self.init_db()
        self.init_casbin()
    
    def init_db(self):
        """初始化数据库连接"""
        try:
            # 创建数据库
            self.engine = create_engine(
                "mysql+pymysql://root:root@127.0.0.1:3306/rule_db?charset=utf8mb4",
                pool_pre_ping=True,
                pool_size=10,
                pool_recycle=3600
            )
            Session = sessionmaker(bind=self.engine)
            self.session = Session()
            logger.info("数据库连接成功")
        except Exception as e:
            logger.fatal(f"数据库连接失败: {str(e)}")
            raise
​
    def init_casbin(self):
        """初始化Casbin权限系统"""
        try:
            # 创建适配器并自动建表
            self.adapter = Adapter(self.engine)
            self.adapter.create_table()  # 自动创建casbin_rule表
            
            # 加载模型文件
            model = casbin.Model.from_file("./testdata/model.pml")
            
            # 创建带缓存的Enforcer
            self.enforcer = casbin.CachedEnforcer(model, self.adapter)
            self.enforcer.set_expire_time(3600)  # 1小时缓存
            self.enforcer.load_policy()
            
            logger.info("Casbin初始化完成")
        except Exception as e:
            logger.fatal(f"Casbin初始化失败: {str(e)}")
            raise
​
    def check_permission(self, sub, obj, act):
        """权限检查方法"""
        ok = self.enforcer.enforce(sub, obj, act)
        status = "允许" if ok else "拒绝"
        logger.info(f"用户 {sub} 请求 {act} {obj} - {status}")
        return ok
​
    def add_permission(self, role, resource, action):
        """添加权限策略"""
        try:
            self.enforcer.add_policy(role, resource, action)
            self.enforcer.save_policy()
            logger.info(f"添加策略: {role} 可 {action} {resource}")
        except Exception as e:
            logger.error(f"添加策略失败: {str(e)}")
​
    def add_role(self, user, role):
        """为用户分配角色"""
        try:
            self.enforcer.add_role_for_user(user, role)
            self.enforcer.save_policy()
            logger.info(f"为用户 {user} 分配角色 {role}")
        except Exception as e:
            logger.error(f"分配角色失败: {str(e)}")
​
    def remove_role(self, user, role):
        """移除用户角色"""
        try:
            self.enforcer.delete_role_for_user(user, role)
            self.enforcer.save_policy()
            logger.info(f"移除用户 {user} 的角色 {role}")
        except Exception as e:
            logger.error(f"移除角色失败: {str(e)}")
​
    def remove_permission(self, role, resource, action):
        """移除权限策略"""
        try:
            self.enforcer.delete_policy(role, resource, action)
            self.enforcer.save_policy()
            logger.info(f"移除策略: {role} 不可 {action} {resource}")
        except Exception as e:
            logger.error(f"移除策略失败: {str(e)}")
​
if __name__ == "__main__":
    try:
        rbac = RBACManager()
        
        # 测试用例
        rbac.add_permission("admin", "/api/users", "GET")
        rbac.add_role("zhangsan", "admin")
        
        # 权限检查
        rbac.check_permission("zhangsan", "/api/users", "GET")  # 应允许
        
        # 移除权限
        rbac.remove_role("zhangsan", "admin")
        rbac.remove_permission("admin", "/api/users", "GET")
        
        # 再次检查
        rbac.check_permission("zhangsan", "/api/users", "GET")  # 应拒绝
        
        # 持久化保存(实际已自动保存)
        rbac.enforcer.save_policy()
        
    except Exception as e:
        logger.error(f"程序运行出错: {str(e)}")

您可能感兴趣的与本文相关的镜像

Python3.11

Python3.11

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

casbin+python
MarryOnlyQueen的博客
08-25 3172
使用casbin进行权限验证casbin介绍casbin在项目中的使用 casbin介绍 casbin的中文文档网址 https://www.kancloud.cn/oldlei/casbin/1289455 这段时间一直在做权限和角色认证的管理。做的博主是真的有点头疼,里面有很多的坑,下面我会慢慢把我踩的坑讲给你听,嘿嘿嘿 我用的技术结合体:Django+oauth2+casbin 其中django用来做主框架,oauth2用来做三方认证,casbin用来做权限的验证 先来介绍一下casbi
drf之day11: 排序源码分析,基于jwt的认证类,RBAC的介绍,ACL、RBAC、ABAC(PBAC,CBAC)权限控制的介绍,casbin的入门使用,后台管理simplui的介绍和使用
Yydsaoligei的博客
10-13 711
排序源码分析,基于jwt的认证类,RBAC的介绍,ACL、RBAC、ABAC(PBAC,CBAC)权限控制的介绍,casbin的入门使用,后台管理simplui的介绍和使用
PyCasbin: 支持 ACL、RBAC、ABAC 多种模型的 Python 权限管理框架
weixin_33843409的博客
01-25 600
PyCasbin 是一个用 Python 语言打造的轻量级开源访问控制框架( https://github.com/casbin/pyc... ),目前在 GitHub 开源。PyCasbin 采用了元模型的设计思想,支持多种经典的访问控制方案,如基于角色的访问控制 RBAC、基于属性的访问控制 ABAC 等。 PyCasbin 的主要特...
Casbin PyCasbin 开源项目常见问题解决方案
最新发布
gitblog_00136的博客
11-14 460
Casbin PyCasbin 是一个强大的开源访问控制库,用于Python项目。它支持多种访问控制模型,包括访问控制列表(ACL)、基于角色的访问控制(RBAC)和基于属性的访问控制(ABAC)。PyCasbin 通过定义清晰的权限策略,帮助开发者轻松实现复杂的权限管理。 **主要编程语言:Python** ## 新手常见问题及解决方案 ### 问题1:如何安装PyCasbin **问题
Python-PyCasbin
08-10
An authorization library that supports access control models like ACL, RBAC, ABAC in Python
python通用权限管理框架_pycasbin: 支持 ACL、RBAC、ABAC 多种模型的 Python 权限管理框架...
weixin_39621794的博客
12-08 541
PyCasbinNews: still worry about how to write the correct Casbin policy? Casbin online editor is coming to help! Try it at: http://casbin.org/editor/Casbin is a powerful and efficient open-source acces...
Python Web之casbin集成
aizaiyishunjian的博客
03-15 956
功能够用,但是集成到flask的话,需要我们手动设置flask与casbin实例的关联,需要实现一些注解,方便权限配置。这样就实现了,应用初始化时,从关系数据库用户权限相关记录中,加载casbin策略信息,实现对RBAC记录的无缝对接。做为一个功能完备的web系统,用户权限更新是再正常不过的事情,那用户权限更新时,如何同步更新casbin模式中的策略信息呢?这样看上去不太优雅,其实完全可以像flask扩展初始化的形式,构建init_**方法,然后在方法参数中传入app实例即可。那要不我们自己造个轮子吧。
python3 fastapi 使用 casbin 做权限管理校验
09-17
创建Casbin模型文件(通常为model.conf)和策略文件(通常为policy.csv)或使用数据库存储策略(如使用casbin_sqlalchemy_adapter) 3. 在FastAPI中初始化Casbin的执行器(enforcer) 4. 创建权限验证的依赖项或...
Pythoncasbin更新至0.13.0版本
总结而言,casbin-0.13.0是一个针对Python 3.x版本的访问控制库,通过提供易于使用的接口和强大的策略管理能力,帮助开发者构建安全、模块化、可维护的应用程序。它支持多种访问控制模型,具备高度的可扩展性,并...
casbin
03-28
此处需要注意的是 adapter 参数需匹配实际使用数据库类型及连接字符串。 #### 三、自定义访问控制模型 默认情况下,Casbin 支持 ACL、RBAC、ABAC 多种模式的选择。如果现有模板无法满足需求,则可通过修改 conf ...
开源项目-casbin-casbin.zip
10-17
3. **易于集成**:Casbin 提供了多种编程语言的绑定,如 Go、Java、Python、Node.js 等,方便在各种项目中使用。 4. **可扩展性**:Casbin 支持自定义模型和适配器,可以方便地扩展功能。 5. **日志记录**:Casbin ...
pycasbin:授权库,支持Python中的ACL,RBAC,ABAC等访问控制模型
04-28
皮卡斯宾 新闻:仍然担心如何编写正确的Casbin策略? Casbin online editor提供帮助! 请尝试: : Casbin是用于Python项目的功能强大且高效的开源访问控制库。 它为基于各种授权实施提供支持。 Casbin支持的所有语言: 卡斯宾 卡斯宾 节点卡宾 PHP的Casbin 准备生产 准备生产 准备生产 准备生产 皮卡斯宾 Casbin.NET 卡宾-CPP Casbin-RS 准备生产 准备生产 Beta测试 准备生产 目录 支持机型 这个怎么运作? 特征 安装 文献资料 在线编辑 讲解 开始吧 政策管理 政策持续性 角色经理 基准测试 例子 中间件 我们的采用者 支持机型 ACL(访问控制列表) 具有超级用户的ACL 没有用户的ACL :对于没有身份验证或用户登录的系统特别有用。 没有资源的ACL :通过使用诸如write-a
python在flask中使用casbin,做权限管理
weixin_43262264的博客
09-16 3747
python3.7下,orm用的是flasksqlalchemy,权限信息是放在mysql里的,有个adapter的库:casbin-sqlalchemy-adapter,不过当时使用有报错, 就参考着写了一下,主要就是实现一下persist.Adapter,先建一个model,用来存权限信息 # model.py class CasbinRule(db.Model): __tablename__ = 'casbin_rule' id = Column("id", Integer, pr
【亲测免费】 PyCasbin: 强大的Python权限管理框架
gitblog_01034的博客
08-10 1306
PyCasbin是一个用Python语言编写的轻量级开源访问控制框架。它遵循Apache 2.0开源协议,在GitHub上有活跃的开发和贡献者社区([https://github.com/casbin/pycasbin](https://github.com/casbin/pycasbin))。PyCasbin设计的核心思路是通过元模型来支持多种传统的访问控制机制,如ACL(访问控制列表)、RBA...
Python权限管理框架Casbin PyCasbin的简单操作
J_Sky:编程爱好者,又菜又爱玩.
10-27 3414
Casbin 是一个强大和高效的开放源码访问控制库,它支持各种 访问控制模型 以强制全面执行授权。大多数应用都会和权限与权限管理打交道,有的时候我们希望有一套拿来即用的权限管理框架,既可以在小型的个人应用中使用,又可以应付大型应用的复杂权限的管理,Casbin可以满足你的这个小小愿望.Casbin支持多种编程语言,今天我们来试试Casbinpython下的简单操作.
Casbin Demo实例(支持CSV和MySQL两种策略规则)
sserf的专栏
07-14 3973
Casbin 帮助文档地址:https://casbin.org/docs/zh-CN/how-it-works 常见的设计模式(DAC,MAC,RBAC,ABAC) 0.基于权限的角色控制 RBAC 1.基于属性的权限验证(ABAC: Attribute-Based Access Control) 创建一个Casbin决策器需要有一个模型文件和策略文件为参数: 特性: 1.支持自定义请求的格式,默认的请求格式为{subject, object, action}。 2.具有访问控制模型model和策略po
我的casbin例子
weixin_34313182的博客
05-31 1351
只允许有一个超级管理员(sa)的配置: 允许有多个超级管理员(超管组)的配置: 转载于:https://www.cnblogs.com/mind-water/articles/casbin_example.html
casbin模型
Qiaoshurui的博客
06-13 541
subject(sub访问实体),object (obj访问的资源) 和 action (act访问的方法) eft (策略结果 一般为空,默认指定allow) 还可以定义为denyp:策略 一般存储到数据库,因为会有很多 m:匹配规则 会把r和p按照匹配原则进行匹配,从而返回匹配结果 (eft)如果不定义会返回allow 如果定义过了,会返回我们定义过的那个结果 r:请求 e:影响 这里的规定是定死的 role_definition 角色域 g= _ , _ 表示以角色为基础,前者是后者
Casbin入门
EGXXM的博客
05-12 849
Casbin 是一个强大的、高效的开源访问控制框架,其权限管理机制支持多种访问控制模型。 简单说就是权限管理, **不支持:**身份认证 authentication(即验证用户的用户名和密码 Policy策略 p = {sub,obj,act,eft} sub(访问实体),obj(访问的资源) act(访问方法), eft(策略结果,一般为空返回allow,可以指定为deny) 第一个demo 1.创建main.go,写入 package main import ( "fmt" "github.co
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值