Casbin 認可
Casbin は、Go 向けの強力で効率的なオープンソース アクセス制御ライブラリです。多くのモデルで認可を強制できます。
- ACL(Access Control List)
- スーパーユーザー付き ACL
- ユーザーなし ACL:認証やユーザーログインがないシステムに有用
- リソースなし ACL:個別リソースではなく、リソース種別(例:
write-article、read-log)を対象にする - RBAC(Role-Based Access Control)
- リソースロール付き RBAC:ユーザーとリソースの両方がロールを持てる
- ドメイン/テナント付き RBAC:ユーザーがドメイン/テナントごとに異なるロールセットを持てる
- ABAC(Attribute-Based Access Control)
- RESTful
- Deny-override:allow と deny の両方のルールをサポートし、deny が allow を上書きする
詳細は API overview と Casbin documentation を参照してください。
go get github.com/casbin/casbin/v3import ( "github.com/casbin/casbin/v3")Echo には Casbin ミドルウェアは同梱されていません。この連携は Casbin enforcer の小さなラッパーです。
// NewCasbinMiddleware returns middleware for Casbin (https://casbin.org/).func NewCasbinMiddleware(enforcer *casbin.Enforcer, userGetter func(*echo.Context) (string, error)) echo.MiddlewareFunc { return func(next echo.HandlerFunc) echo.HandlerFunc { return func(c *echo.Context) error { username, err := userGetter(c) if err != nil { return echo.ErrUnauthorized.Wrap(err) } if pass, err := enforcer.Enforce(username, c.Request().URL.Path, c.Request().Method); err != nil { return echo.ErrInternalServerError.Wrap(err) } else if !pass { return echo.NewHTTPError(http.StatusForbidden, "access denied") } return next(c) } }}Casbin モデルファイル auth_model.conf を作成します。
[request_definition]r = sub, obj, act
[policy_definition]p = sub, obj, act
[role_definition]g = _, _
[policy_effect]e = some(where (p.eft == allow))
[matchers]m = g(r.sub, p.sub) && keyMatch(r.obj, p.obj) && (r.act == p.act || p.act == "*")Casbin ポリシーファイル auth_policy.csv を作成します。
p, 1234567890, /dataset1/*, GETp, alice, /dataset1/*, GETp, alice, /dataset1/resource1, POSTp, bob, /dataset2/resource1, *p, bob, /dataset2/resource2, GETp, bob, /dataset2/folder1/*, POSTp, dataset1_admin, /dataset1/*, *g, cathy, dataset1_admin認証と認可は別の関心事です。JWT や Basic Auth など別のミドルウェアでユーザーを認証し、
Casbin がリクエストを認可できるよう userGetter を渡します。
JWT と使う
Section titled “JWT と使う”e.Use(echojwt.JWT([]byte("secret"))) // JWT middleware does authenticationjwtUser := func(c *echo.Context) (string, error) { // JWT user getter for Casbin authorization token, err := echo.ContextGet[*jwt.Token](c, "user") if err != nil { return "", err } return token.Claims.GetSubject()}e.Use(NewCasbinMiddleware(ce, jwtUser)) // Casbin does authorization次で試します。
curl -v "http://localhost:8080/dataset1/any" -H "Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ"Basic Auth と使う
Section titled “Basic Auth と使う”// BasicAuth middleware does authenticatione.Use(middleware.BasicAuth(func(c *echo.Context, user, password string) (bool, error) { return subtle.ConstantTimeCompare([]byte(user), []byte("alice")) == 1 && subtle.ConstantTimeCompare([]byte(password), []byte("password")) == 1, nil}))basicAuthUser := func(c *echo.Context) (string, error) { // Basic auth user getter for Casbin authorization username, _, _ := c.Request().BasicAuth() // password is verified by the BasicAuth middleware above return username, nil}e.Use(NewCasbinMiddleware(ce, basicAuthUser)) // Casbin does authorization次で試します。
# should passcurl -v -u "alice:password" http://localhost:8080/dataset1/any# should failcurl -v -u "alice:password" http://localhost:8080/dataset2/resource2Casbin + JWT の完全な例
Section titled “Casbin + JWT の完全な例”package main
import ( "log/slog" "net/http"
"github.com/casbin/casbin/v3" "github.com/golang-jwt/jwt/v5" echojwt "github.com/labstack/echo-jwt/v5" "github.com/labstack/echo/v5")
// NewCasbinMiddleware returns middleware for Casbin (https://casbin.org/).func NewCasbinMiddleware(enforcer *casbin.Enforcer, userGetter func(*echo.Context) (string, error)) echo.MiddlewareFunc { return func(next echo.HandlerFunc) echo.HandlerFunc { return func(c *echo.Context) error { username, err := userGetter(c) if err != nil { return echo.ErrUnauthorized.Wrap(err) } if pass, err := enforcer.Enforce(username, c.Request().URL.Path, c.Request().Method); err != nil { return echo.ErrInternalServerError.Wrap(err) } else if !pass { return echo.NewHTTPError(http.StatusForbidden, "access denied") } return next(c) } }}
func main() { e := echo.New()
ce, err := casbin.NewEnforcer("auth_model.conf", "auth_policy.csv") if err != nil { slog.Error("failed to initialize Casbin enforcer", "error", err) }
e.Use(echojwt.JWT([]byte("secret"))) // JWT middleware does authentication jwtUser := func(c *echo.Context) (string, error) { // JWT user getter for Casbin authorization token, err := echo.ContextGet[*jwt.Token](c, "user") if err != nil { return "", err } return token.Claims.GetSubject() } e.Use(NewCasbinMiddleware(ce, jwtUser)) // Casbin does authorization
e.GET("/*", func(c *echo.Context) error { return c.String(http.StatusOK, "Hello, World!") })
if err := e.Start(":8080"); err != nil { e.Logger.Error("failed to start server", "error", err) }}