Casbin
説明
Casbinは強力で効率的なオープンソースアクセス制御フレームワークであり、その権限管理メカニズムは多様なアクセス制御モデルをサポートしています。
プロジェクトアドレス
https://github.com/teamones-open/casbin
インストール
composer require teamones/casbin
Casbin公式サイト
詳細な使用方法は公式の日本語ドキュメントをご覧ください。ここでは、webmanでの設定方法のみ説明します。
https://casbin.org/docs/zh-CN/overview
ディレクトリ構造
.
├── config 設定ディレクトリ
│ ├── casbin-restful-model.conf 使用する権限モデル設定ファイル
│ ├── casbin.php casbin設定
......
├── database データベースファイル
│ ├── migrations マイグレーションファイル
│ │ └── 20210218074218_create_rule_table.php
......
データベースマイグレーションファイル
<?php
use Phinx\Migration\AbstractMigration;
class CreateRuleTable extends AbstractMigration
{
/**
* Change Method.
*
* このメソッドを使用して可逆マイグレーションを記述します。
*
* マイグレーションの書き方についての詳細は以下を参照してください:
* http://docs.phinx.org/en/latest/migrations.html#the-abstractmigration-class
*
* 次のコマンドはこのメソッド内で使用でき、Phinxは
* ロールバック時に自動的に逆操作を行います:
*
* createTable
* renameTable
* addColumn
* addCustomColumn
* renameColumn
* addIndex
* addForeignKey
*
* その他の破壊的変更は、マイグレーションのロールバック時にエラーが発生します。
*
* Tableクラスを使用する際は、"create()"または"update()"を呼び出し、
* "save()"は呼び出さないでください。
*/
public function change()
{
$table = $this->table('rule', ['id' => false, 'primary_key' => ['id'], 'engine' => 'InnoDB', 'collation' => 'utf8mb4_general_ci', 'comment' => 'ルールテーブル']);
// データフィールドを追加
$table->addColumn('id', 'integer', ['identity' => true, 'signed' => false, 'limit' => 11, 'comment' => '主キーID'])
->addColumn('ptype', 'char', ['default' => '', 'limit' => 8, 'comment' => 'ルールタイプ'])
->addColumn('v0', 'string', ['default' => '', 'limit' => 128])
->addColumn('v1', 'string', ['default' => '', 'limit' => 128])
->addColumn('v2', 'string', ['default' => '', 'limit' => 128])
->addColumn('v3', 'string', ['default' => '', 'limit' => 128])
->addColumn('v4', 'string', ['default' => '', 'limit' => 128])
->addColumn('v5', 'string', ['default' => '', 'limit' => 128]);
// 作成を実行
$table->create();
}
}
casbin 設定
権限ルールモデルの設定構文については、以下を参照してください:https://casbin.org/docs/zh-CN/syntax-for-models
<?php
return [
'default' => [
'model' => [
'config_type' => 'file',
'config_file_path' => config_path() . '/casbin-restful-model.conf', // 権限ルールモデル設定ファイル
'config_text' => '',
],
'adapter' => [
'type' => 'model', // modelまたはadapter
'class' => \app\model\Rule::class,
],
],
// 複数の権限modelを設定可能
'rbac' => [
'model' => [
'config_type' => 'file',
'config_file_path' => config_path() . '/casbin-rbac-model.conf', // 権限ルールモデル設定ファイル
'config_text' => '',
],
'adapter' => [
'type' => 'model', // modelまたはadapter
'class' => \app\model\RBACRule::class,
],
],
];
アダプター
現在のcomposerラッパーではthink-ormのmodelメソッドが適用されており、他のORMについてはvendor/teamones/src/adapters/DatabaseAdapter.phpを参照してください。
その後、設定を変更します。
return [
'default' => [
'model' => [
'config_type' => 'file',
'config_file_path' => config_path() . '/casbin-restful-model.conf', // 権限ルールモデル設定ファイル
'config_text' => '',
],
'adapter' => [
'type' => 'adapter', // ここは適応モードとして設定
'class' => \app\adapter\DatabaseAdapter::class,
],
],
];
使用説明
インポート
# インポート
use teamones\casbin\Enforcer;
2つの使用法
# 1. デフォルトのdefault設定を使用
Enforcer::addPermissionForUser('user1', '/user', 'read');
# 1. 自作のrbac設定を使用
Enforcer::instance('rbac')->addPermissionForUser('user1', '/user', 'read');
よく使われるAPI紹介
その他のAPIの使用法については公式サイトをご覧ください。
- 管理API: https://casbin.org/docs/zh-CN/management-api
- RBAC API: https://casbin.org/docs/zh-CN/rbac-api
# ユーザーに権限を追加
Enforcer::addPermissionForUser('user1', '/user', 'read');
# ユーザーの権限を削除
Enforcer::deletePermissionForUser('user1', '/user', 'read');
# ユーザーのすべての権限を取得
Enforcer::getPermissionsForUser('user1');
# ユーザーに役割を追加
Enforcer::addRoleForUser('user1', 'role1');
# 役割に権限を追加
Enforcer::addPermissionForUser('role1', '/user', 'edit');
# すべての役割を取得
Enforcer::getAllRoles();
# ユーザーのすべての役割を取得
Enforcer::getRolesForUser('user1');
# 役割からユーザーを取得
Enforcer::getUsersForRole('role1');
# ユーザーが役割に属しているかを確認
Enforcer::hasRoleForUser('use1', 'role1');
# ユーザーの役割を削除
Enforcer::deleteRoleForUser('use1', 'role1');
# ユーザーのすべての役割を削除
Enforcer::deleteRolesForUser('use1');
# 役割を削除
Enforcer::deleteRole('role1');
# 権限を削除
Enforcer::deletePermission('/user', 'read');
# ユーザーまたは役割のすべての権限を削除
Enforcer::deletePermissionsForUser('user1');
Enforcer::deletePermissionsForUser('role1');
# 権限をチェックし、trueまたはfalseを返す
Enforcer::enforce("user1", "/user", "edit");