Casbin.NET

新闻：还在为如何编写正确的Casbin策略而烦恼吗？Casbin在线编辑器来帮忙了！请在以下地址尝试：http://casbin.org/editor/

Casbin.NET是一个强大而高效的开源访问控制库，专为.NET（C#）项目设计。它支持基于各种访问控制模型的授权执行。

Casbin支持的所有语言：


Casbin	jCasbin	node-Casbin	PHP-Casbin
可用于生产	可用于生产	可用于生产	可用于生产


PyCasbin	Casbin.NET	Casbin4D	Casbin-RS
可用于生产	可用于生产	试验阶段	可用于生产

支持的模型

访问控制列表（ACL）
带超级用户的ACL
无用户的ACL：特别适用于没有认证或用户登录的系统。
无资源的ACL：某些场景可能针对某类资源而非单个资源，使用如write-article、read-log这样的权限。它不控制对特定文章或日志的访问。
基于角色的访问控制（RBAC）
带资源角色的RBAC：用户和资源可以同时拥有角色（或组）。
带域/租户的RBAC：用户可以在不同的域/租户中拥有不同的角色集。
基于属性的访问控制（ABAC）：可以使用如resource.Owner这样的语法糖来获取资源的属性。
RESTful：支持如/res/*、/res/:id的路径和GET、POST、PUT、DELETE等HTTP方法。
拒绝优先：同时支持允许和拒绝授权，拒绝优先于允许。
优先级：策略规则可以像防火墙规则一样设置优先级。

工作原理

在Casbin中，访问控制模型被抽象为基于**PERM元模型（策略、效果、请求、匹配器）**的CONF文件。因此，切换或升级项目的授权机制就像修改配置一样简单。你可以通过组合现有模型来自定义自己的访问控制模型。例如，你可以在一个模型中同时使用RBAC角色和ABAC属性，并共享一组策略规则。

Casbin中最基本和最简单的模型是ACL。ACL的模型CONF为：

# 请求定义
[request_definition]
r = sub, obj, act

# 策略定义
[policy_definition]
p = sub, obj, act

# 策略效果
[policy_effect]
e = some(where (p.eft == allow))

# 匹配器
[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

ACL模型的示例策略如下：

p, alice, data1, read
p, bob, data2, write

这意味着：

alice可以读取data1
bob可以写入data2

我们还支持多行模式，在行尾添加'\'：

# 匹配器
[matchers]
m = r.sub == p.sub && r.obj == p.obj \
  && r.act == p.act

此外，如果你使用ABAC，可以在Casbin的golang版本中尝试使用in运算符（jCasbin和Node-Casbin尚不支持）：

# 匹配器
[matchers]
m = r.obj == p.obj && r.act == p.act || r.obj in ('data2', 'data3')

但你应该确保数组的长度大于1，否则会导致panic。

关于更多运算符，可以查看govaluate

特性

Casbin可以：

执行经典{主体、客体、操作}形式或自定义形式的策略，支持允许和拒绝授权。
处理访问控制模型及其策略的存储。
管理角色-用户映射和角色-角色映射（即RBAC中的角色层级）。
支持内置超级用户如root或administrator。超级用户无需明确权限即可执行任何操作。
多个内置运算符支持规则匹配。例如，keyMatch可将资源键/foo/bar映射到模式/foo*。

Casbin不做：

认证（即用户登录时验证用户名和密码）
管理用户或角色列表。我认为项目自身管理这些实体更方便。用户通常有密码，而Casbin并非设计为密码容器。但是，Casbin存储RBAC场景下的用户-角色映射。

安装

dotnet add package Casbin.NET

文档

https://casbin.org/docs/overview

在线编辑器

你还可以使用在线编辑器（http://casbin.org/editor/）在网络浏览器中编写Casbin模型和策略。它提供了`语法高亮`和`代码补全`等功能，就像编程语言的IDE一样。

教程

https://casbin.org/docs/tutorials

快速开始

使用模型文件和策略文件创建一个Casbin执行器：

var e = new Enforcer("path/to/model.conf", "path/to/policy.csv")

注意：你也可以使用数据库中的策略而非文件来初始化执行器，详见持久化部分。

在访问发生前，在代码中添加执行钩子：

var sub = "alice" // 想要访问资源的用户。
var obj = "data1" // 将要被访问的资源。
var act = "read" // 用户对资源执行的操作。

if (e.Enforce(sub, obj, act)) {
    // 允许alice读取data1
} else {
    // 拒绝请求，显示错误
}

除了静态策略文件，Casbin还提供了运行时权限管理的API。例如，你可以获取分配给用户的所有角色：
```
var roles = e.GetRolesForUser("alice")
```

更多用法请参见策略管理API。

更多用法请参考Casbin.UnitTest项目。

策略管理

Casbin提供两套API来管理权限：

管理API：提供全面支持Casbin策略管理的基础API。示例请参见这里。
RBAC API：一个更友好的RBAC API。这个API是管理API的子集。RBAC用户可以使用此API来简化代码。示例请参见这里。

我们还提供了一个基于Web的UI，用于模型管理和策略管理：

模型编辑器

策略编辑器

策略持久化

https://casbin.org/docs/adapters

多节点间的策略一致性

https://casbin.org/docs/watchers

角色管理器

https://casbin.org/docs/role-managers

基准测试

https://casbin.org/docs/benchmark

示例

模型	模型文件	策略文件
ACL	basic_model.conf	basic_policy.csv
带超级用户的ACL	basic_model_with_root.conf	basic_policy.csv
无用户的ACL	basic_model_without_users.conf	basic_policy_without_users.csv
无资源的ACL	basic_model_without_resources.conf	basic_policy_without_resources.csv
RBAC	rbac_model.conf	rbac_policy.csv
带资源角色的RBAC	rbac_model_with_resource_roles.conf	rbac_policy_with_resource_roles.csv
带域/租户的RBAC	rbac_model_with_domains.conf	rbac_policy_with_domains.csv
ABAC	abac_model.conf	不适用
RESTful	keymatch_model.conf	keymatch_policy.csv
拒绝优先	rbac_model_with_deny.conf	rbac_policy_with_deny.csv
优先级	priority_model.conf	priority_policy.csv