ブログ | Casbin

Casbin を使用して APISIX での承認

2021年8月19日 · 1 分で読む

カスビンメンバー

はじめに

APISIX は Nginx や etcd に基づく高性能でスケーラブルなクラウドネイティブ API ゲートウェイです。これは、Apache Software Foundationによるオープンソースプロジェクトです。それに加えて、APISIXがとても良いのは、認証のような機能を実装するために使用できる多くの偉大なプラグインのサポートです。モニタリングルーティングなど APISIX のプラグインが(再起動なしで)ホットリロードされているという事実は、それを非常に動的にします。

しかし、APISIXを使用している間に、アプリケーションに複雑な認可ロジックを追加するシナリオがあるかもしれません。ここで、authz-casbinがあなたを助けるかもしれません。 authz-casbin は Lua Casbin をベースにした APISIX プラグインで、さまざまなアクセス制御モデルに基づいた強力な認証を可能にします。 Casbin is an authorization library which supports access control models like ACL, RBAC, ABAC. もともとはGoで書かれており、それは多くの言語に移植されており、Lua CasbinはCasbinのLua実装です。 authz-casbinの開発は、コアメンバーが合意したAPISIXリポジトリ(#4674)で承認のための新しいプラグインを提案した時に始まりました。そして、大きな変更と改善につながった役立つレビューの後、PR (#4710) が最終的にマージされました。

このブログで APISIXのロールベースアクセス制御(RBAC)に基づいて認証モデルを実装する方法を示すために、authz-casbinプラグインを使用します。

注意: Casbinは認証のみを行い、認証しないので、ユーザーを認証するために、他のプラグインまたはカスタムワークフローを使用する必要があります。

モデルの作成

このプラグインは、すべてのリクエストを承認するために3つのパラメータを使用します - 件名、オブジェクト、およびアクション。ここで、subject はユーザー名ヘッダーの値で、 [username: alice] のようなものになる可能性があります。次に、オブジェクトはアクセスされているURLパスであり、アクションはリクエストメソッドが使用されています。

Let's say we want to create a model with three resources at the paths - /, /res1 and /res2. 次のようなモデルが必要です

例えば、jackのようなすべてのユーザー( * )がホームページにアクセスできることを意味します(/)。 alice や bob のような 管理者 権限を持つユーザーは、( res1 や res2 のような) すべてのページとリソースにアクセスできます。また、 GET リクエストメソッドのみを使用するように、管理者権限のないユーザーを制限しましょう。このシナリオでは、次のようにモデルを定義できます。

[request_definition]
r = sub, obj, act

[policy_definition]
p = sub, obj, act

[role_definition]
g = _, _

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = (g(r.sub, p.sub) || keyMatch(r.sub, p.sub)) && keyMatch(r.obj, p.obj) && keyMatch(r.act, p.act)

ポリシーの作成

上記のシナリオから、ポリシーは次のようになります。

p, *, /, GET
p, admin, *, *
g, alice, admin
g, bob, admin

モデルからのマッチャは以下のことを意味します:

(g(r.sub, p.sub) || keyMatch(r.sub, p. ub)) <code>: リクエストの件名は、ポリシーの件名としての役割を持っているか、リクエストの件名は、 keyMatch 内のポリシーの件名と一致します。 keyMatch is built in function in Lua Casbin, you can take a look at the function's description and more such functions that could be useful here.
keyMatch(r.obj, p.obj): リクエストのオブジェクトはポリシーのオブジェクト (URLパスはこちら) に一致します。
keyMatch(r.act, p.act): リクエストのアクションはポリシーのアクション (HTTP リクエストメソッドはこちら) と一致します。

ルート上でプラグインを有効にしています

モデルとポリシーを作成したら、APISIX Admin API を使用してルート上で有効にできます。モデルとポリシーのファイルパスを使用して有効にするには:

curl http://127.0.0.1:9080/apisix/admin/routes/1 -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
    "plugins": {
        "authz-casbin": {
            "model_path": "/path/to/model.conf",
            "policy_path": "/path/to/policy.csv",
            "username": "username"
        }
    },
    "upstream": {
        "nodes": {
            "127.0.0.1:1980": 1
        },
        "type": "roundrobin"
    },
    "uri": "/*"
}'

ここで、username フィールドは、subject に渡すために使用するヘッダー名です。例えば、ユーザー名ヘッダーを user: aliceとして渡す場合は、 "username": "user" を使用します。

ファイルの代わりにモデル/ポリシーテキストを使用するには、代わりに モデル と ポリシー フィールドを使用できます。

curl http://127.0.0.1:9080/apisix/admin/routes/1 -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
    "plugins": {
        "authz-casbin": {
            "model": "[request_definition]
            r = sub, obj, act

            [policy_definition]
            p = sub, obj, act

            [role_definition]
            g = _, _

            [policy_effect]
            e = some(where (p.eft == allow))

            [matchers]
            m = (g(r.sub, p.sub) || keyMatch(r.sub, p.sub)) && keyMatch(r.obj, p.obj) && keyMatch(r.act, p.act)",

            "policy": "p, *, /, GET
            p, admin, *, *
            g, alice, admin
            g, bob, admin",

            "username": "username"
        }
    },
    "upstream": {
        "nodes": {
            "127.0.0.1:1980": 1
        },
        "type": "roundrobin"
    },
    "uri": "/*"
}'

グローバルモデル/ポリシーを使用してプラグインを有効にする

複数のルートで単一のモデルとポリシー構成を使用したい場合があります。まず、 PUT のリクエストを送信して、モデルとポリシーの設定をプラグインのメタデータに追加できます:

curl http://127.0.0.1:9080/apisix/admin/plugin_metadata/authz-casbin -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -i -X PUT -d '
{
"model": "[request_definition]
r = sub, obj, act

[policy_definition]
p = sub, obj, act

[role_definition]
g = _, _

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = (g(r.sub, p.sub) || keyMatch(r.sub, p.sub)) && keyMatch(r.obj, p.obj) && keyMatch(r.act, p.act)",

"policy": "p, *, /, GET
p, admin, *, *
g, alice, admin
g, bob, admin"
}'

そして、いくつかのルートで同じ設定を有効にするには、Admin API を使用してリクエストを送信します。

curl http://127.0.0.1:9080/apisix/admin/routes/1 -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
    "plugins": {
        "authz-casbin": {
            "username": "username"
        }
    },
    "upstream": {
        "nodes": {
            "127.0.0.1:1980": 1
        },
        "type": "roundrobin"
    },
    "uri": "/route1/*"
}'

これにより、プラグインのメタデータの設定がルートに追加されます。また、更新されたモデルとポリシー設定を使用してプラグインのメタデータにリクエストを再送することで、プラグインのメタデータ設定を簡単に更新することもできます。プラグインはメタデータを使ってルートを自動的に更新します

ユースケース

このプラグインの主な使用例は、API での認証を実装することです。このプラグインは、認証モデルとポリシーの設定で使用しているAPIルートに簡単に追加できます。
すべての API に対して単一の認可モデルを使用したい場合は、グローバルモデル/ポリシーメソッドを使用できます。これにより、etcd 内のメタデータのみを更新する必要があるため、すべてのルートでポリシーの更新が容易になります。
異なるルートごとに異なるモデルを使用したい場合は、route (ルート)メソッドを使用できます。これは、異なるAPIルートが異なるユーザ権限セットを持つ場合に役立ちます。より大きなポリシーを扱っている場合にもこれを使用できます。複数のルートにフィルタされると認可が速くなりますので。

Yang Luo - Google オープンソースピアボーナス受賞

2020年4月21日 · 1 分で読む

Casbin

公式アカウント

Today, we are pleased to announce that Casbin's founder, Yang Luo is awarded the "Google Open Source Peer Bonus winners" for his work on Casbin, Npcap and Nmap in 2019 Q3.

spb

オリジナルの賞状はこちらにアクセスできます。

Google Open Source Peer Bonus プログラムは次のように記述されています。

Google ピアボーナスは、上記以降のGoogleの仲間を認識するために使用されるのと同じように。オープンソースピアボーナスは、オープンソースに卓越した貢献をした外部の人を認識します。

The announcement for the 2019 winners is available at:

https://opensource.googleblog.com/2020/01/announcing-2019-second-cycle-google.html

ヤン氏とカスビン氏は、オープンソースの開発者やそこに影響を与えるプロジェクトにリストされています。 Git、TensorFlow、V8、CPython、LLVM、Apacheプロジェクト、Angular、Jenkinsなど。

オープンソースとクラウドのセキュリティへの貢献により、Casbinがこのように認識されたことを嬉しく思います。

ご利用ありがとうございます！

ドキュメントのリワーク

2018年9月23日 · 1 分で読む

Yang Luo

Casbin の作成

Today, we migrated Casbin's documentation from GitHub Wiki to Docs of this website, which is powered by Docusaurus. Docusaurusはより良いマークダウンスタイル、全文検索、バージョン管理、翻訳などの素晴らしい機能をたくさん提供しています。

ドキュメントはまだ完璧ではなく、まだチューニングが必要です。 The source code is hosted on GitHub: https://github.com/casbin/casbin-website.

どんな貢献も提案も歓迎です!

node-Casbin: Casbin ファミリーの新しいメンバー

2018年8月27日 · 1 分で読む

Zixuan Liu

カスビンメンテナー

今日、Casbin を Node.js に正常に移植しました。これは node-Casbin という名前です。

node-Casbin は、Casbin の他の実装と同様の使用法と API を共有しています。 Express、Koa2、Egg.jsのミドルウェアは用意されています。シーケンス用のストレージアダプタも用意されています。

それがあなたの必要性によく役立つことを願っています:)

GitHub: https://github.com/casbin/node-casbin

Casbin Server が起動しました！

2018年8月7日 · 1 分で読む

Helong Zhang

カスビンメンテナー

一部のお客様は、Casbinがライブラリの代わりにサービスとして使用できるかどうかを尋ねています。の答えははいです。本日、 Casbin Server プロジェクトを、 Access Control as a Service の具体的なソリューションとして開始しました。

Casbin Server はコアチームによって積極的に開発されています。いくつかの機能があります:

純粋にゴランで開発されました。
数千のCasbinインスタンスを管理できるため、ポリシー執行ロジックを複数のサービスから1つのCasbinサーバーに移動できます。
gRPC はCasbin Server との通信に使用されます。また、近い将来、 RESTful のサポートを追加することも検討しています。
開発者以外の管理者は、Casbinインスタンス、モデル、ポリシーストレージ、ロードバランシングなどのすべての詳細を管理するためのフレンドリーなWeb管理者ポータルが提供されています。

ソースコードは GitHub でホストされています: https://github.com/casbin/casbin-server

問題やプルリクエストは歓迎します:)