Casbin.NET

新闻：还在为如何编写正确的Casbin策略而烦恼吗？Casbin在线编辑器来帮忙了！请在以下地址尝试：http://casbin.org/editor/

Casbin.NET是一个强大而高效的开源访问控制库，专为.NET（C#）项目设计。它支持基于各种访问控制模型的授权执行。

Casbin支持的所有语言：

Casbin	jCasbin	node-Casbin	PHP-Casbin
可用于生产	可用于生产	可用于生产	可用于生产

PyCasbin	Casbin.NET	Casbin4D	Casbin-RS
可用于生产	可用于生产	试验阶段	可用于生产

目录

• 支持的模型
• 工作原理
• 特性
• 安装
• 文档
• 在线编辑器
• 教程
• 快速开始
• 策略管理
• 策略持久化
• 多节点间的策略一致性
• 角色管理器
• 基准测试
• 示例
• 中间件
• 我们的采用者

支持的模型

1. 访问控制列表（ACL）
2. 带超级用户的ACL
3. 无用户的ACL：特别适用于没有认证或用户登录的系统。
4. 无资源的ACL：某些场景可能针对某类资源而非单个资源，使用如write-article、read-log这样的权限。它不控制对特定文章或日志的访问。
5. 基于角色的访问控制（RBAC）
6. 带资源角色的RBAC：用户和资源可以同时拥有角色（或组）。
7. 带域/租户的RBAC：用户可以在不同的域/租户中拥有不同的角色集。
8. 基于属性的访问控制（ABAC）：可以使用如resource.Owner这样的语法糖来获取资源的属性。
9. RESTful：支持如/res/*、/res/:id的路径和GET、POST、PUT、DELETE等HTTP方法。
10. 拒绝优先：同时支持允许和拒绝授权，拒绝优先于允许。
11. 优先级：策略规则可以像防火墙规则一样设置优先级。

工作原理

在Casbin中，访问控制模型被抽象为基于**PERM元模型（策略、效果、请求、匹配器）**的CONF文件。因此，切换或升级项目的授权机制就像修改配置一样简单。你可以通过组合现有模型来自定义自己的访问控制模型。例如，你可以在一个模型中同时使用RBAC角色和ABAC属性，并共享一组策略规则。

Casbin中最基本和最简单的模型是ACL。ACL的模型CONF为：

# 请求定义
[request_definition]
r = sub, obj, act

# 策略定义
[policy_definition]
p = sub, obj, act

# 策略效果
[policy_effect]
e = some(where (p.eft == allow))

# 匹配器
[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

ACL模型的示例策略如下：

p, alice, data1, read
p, bob, data2, write

这意味着：

• alice可以读取data1
• bob可以写入data2

我们还支持多行模式，在行尾添加'\'：

# 匹配器
[matchers]
m = r.sub == p.sub && r.obj == p.obj \
  && r.act == p.act

此外，如果你使用ABAC，可以在Casbin的golang版本中尝试使用in运算符（jCasbin和Node-Casbin尚不支持）：

# 匹配器
[matchers]
m = r.obj == p.obj && r.act == p.act || r.obj in ('data2', 'data3')

但你应该确保数组的长度大于1，否则会导致panic。

关于更多运算符，可以查看govaluate

特性

Casbin可以：

1. 执行经典{主体、客体、操作}形式或自定义形式的策略，支持允许和拒绝授权。
2. 处理访问控制模型及其策略的存储。
3. 管理角色-用户映射和角色-角色映射（即RBAC中的角色层级）。
4. 支持内置超级用户如root或administrator。超级用户无需明确权限即可执行任何操作。
5. 多个内置运算符支持规则匹配。例如，keyMatch可将资源键/foo/bar映射到模式/foo*。

Casbin不做：

1. 认证（即用户登录时验证用户名和密码）
2. 管理用户或角色列表。我认为项目自身管理这些实体更方便。用户通常有密码，而Casbin并非设计为密码容器。但是，Casbin存储RBAC场景下的用户-角色映射。

安装

dotnet add package Casbin.NET

文档

https://casbin.org/docs/overview

在线编辑器

你还可以使用在线编辑器（http://casbin.org/editor/）在网络浏览器中编写Casbin模型和策略。它提供了`语法高亮`和`代码补全`等功能，就像编程语言的IDE一样。

教程

https://casbin.org/docs/tutorials

快速开始

1. 使用模型文件和策略文件创建一个Casbin执行器：

   var e = new Enforcer("path/to/model.conf", "path/to/policy.csv")

注意：你也可以使用数据库中的策略而非文件来初始化执行器，详见持久化部分。

2. 在访问发生前，在代码中添加执行钩子：

   var sub = "alice" // 想要访问资源的用户。
   var obj = "data1" // 将要被访问的资源。
   var act = "read" // 用户对资源执行的操作。
   
   if (e.Enforce(sub, obj, act)) {
       // 允许alice读取data1
   } else {
       // 拒绝请求，显示错误
   }

3. 除了静态策略文件，Casbin还提供了运行时权限管理的API。例如，你可以获取分配给用户的所有角色：

   var roles = e.GetRolesForUser("alice")

更多用法请参见策略管理API。

4. 更多用法请参考Casbin.UnitTest项目。

策略管理

Casbin提供两套API来管理权限：

• 管理API：提供全面支持Casbin策略管理的基础API。示例请参见这里。
• RBAC API：一个更友好的RBAC API。这个API是管理API的子集。RBAC用户可以使用此API来简化代码。示例请参见这里。

我们还提供了一个基于Web的UI，用于模型管理和策略管理：

策略持久化

https://casbin.org/docs/adapters

多节点间的策略一致性

https://casbin.org/docs/watchers

角色管理器

https://casbin.org/docs/role-managers

基准测试

https://casbin.org/docs/benchmark

示例

模型	模型文件	策略文件
ACL	basic_model.conf	basic_policy.csv
带超级用户的ACL	basic_model_with_root.conf	basic_policy.csv
无用户的ACL	basic_model_without_users.conf	basic_policy_without_users.csv
无资源的ACL	basic_model_without_resources.conf	basic_policy_without_resources.csv
RBAC	rbac_model.conf	rbac_policy.csv
带资源角色的RBAC	rbac_model_with_resource_roles.conf	rbac_policy_with_resource_roles.csv
带域/租户的RBAC	rbac_model_with_domains.conf	rbac_policy_with_domains.csv
ABAC	abac_model.conf	不适用
RESTful	keymatch_model.conf	keymatch_policy.csv
拒绝优先	rbac_model_with_deny.conf	rbac_policy_with_deny.csv
优先级	priority_model.conf	priority_policy.csv

中间件

Web框架的授权中间件：https://casbin.org/docs/middlewares

我们的采用者

https://casbin.org/docs/adopters

贡献者

这个项目的存在要感谢所有做出贡献的人。

<p><a href="https://github.com/casbin/Casbin.NET/graphs/contributors"><img src="https://yellow-cdn.veclightyear.com/835a84d5/3a4e6ff5-85e9-40ef-9091-728b4add1644.svg?width=890&button=false"></a></p>

支持者

感谢所有的支持者！🙏 [成为支持者]

<p><a href="https://opencollective.com/casbin#backers" target="_blank"><img src="https://yellow-cdn.veclightyear.com/835a84d5/f2ddc690-ae42-419f-bbf8-bee492e384b5.svg?width=890"></a></p>

赞助商

通过成为赞助商来支持这个项目。您的logo将出现在这里，并带有指向您网站的链接。 [成为赞助商]

<p><a href="https://opencollective.com/casbin/sponsor/0/website" target="_blank"><img src="https://yellow-cdn.veclightyear.com/835a84d5/eade30b0-036f-46df-967d-89550dccf66a.svg"></a> <a href="https://opencollective.com/casbin/sponsor/1/website" target="_blank"><img src="https://yellow-cdn.veclightyear.com/835a84d5/551a346f-5782-4fec-ad04-46bc2ea64cb9.svg"></a> <a href="https://opencollective.com/casbin/sponsor/2/website" target="_blank"><img src="https://yellow-cdn.veclightyear.com/835a84d5/15aa7df6-6c36-426b-a26b-6d7a062b192b.svg"></a> <a href="https://opencollective.com/casbin/sponsor/3/website" target="_blank"><img src="https://yellow-cdn.veclightyear.com/835a84d5/4ea1683d-601e-4a47-9d9b-7be06b5fbc76.svg"></a> <a href="https://opencollective.com/casbin/sponsor/4/website" target="_blank"><img src="https://yellow-cdn.veclightyear.com/835a84d5/bf71e95e-2eb9-48c7-84cd-4f8328b391c8.svg"></a> <a href="https://opencollective.com/casbin/sponsor/5/website" target="_blank"><img src="https://yellow-cdn.veclightyear.com/835a84d5/2bea7eba-59af-45d8-901e-13b0bafd9a08.svg"></a> <a href="https://opencollective.com/casbin/sponsor/6/website" target="_blank"><img src="https://yellow-cdn.veclightyear.com/835a84d5/4c5c4de8-d010-4e23-a58f-3317149d968a.svg"></a> <a href="https://opencollective.com/casbin/sponsor/7/website" target="_blank"><img src="https://yellow-cdn.veclightyear.com/835a84d5/446fe701-7dd2-4a40-86d0-3a598709f573.svg"></a> <a href="https://opencollective.com/casbin/sponsor/8/website" target="_blank"><img src="https://yellow-cdn.veclightyear.com/835a84d5/363aa7dc-e0dd-4311-8f22-fee3c1e83ddd.svg"></a> <a href="https://opencollective.com/casbin/sponsor/9/website" target="_blank"><img src="https://yellow-cdn.veclightyear.com/835a84d5/711b0535-9a4e-4a6d-8978-5f566fdf577c.svg"></a> </p>

许可证

本项目采用Apache 2.0 许可证。