Golang: Authorization/IAM(Identity and Access Management) Design

[hhstore]

related:

• 381

• 139 : Authorization 方案

• 138 : 开发者中心方案

[hhstore]

abac 设计:

架构设计思路:

• 两种架构:
  • C/S: A--> Access Control Server --> B
  • P2P: A (SDK) --> B, A侧, SDK包, 计算访问权限, 直接到B.
• 推荐 P2P架构, 点到点方案. 把计算量放在请求侧. 不会产生性能瓶颈
• C/S架构, 容易在server处出现单点故障, 容易背锅. 而且出故障的概率极高. 故障对业务整体影响太大.
• SDK方式, 业务A和业务B.
• SDK作权限计算.

IAM(Identity and Access Management):

• https://www.cloudflare.com/zh-cn/learning/access-management/what-is-identity-and-access-management/
• AWS IAM 权限控制方案
• search: iam open source solution github
• OpenSource IAM Solution
• https://github.com/topics/identity-management

AWS IAM:

• https://aws.amazon.com/cn/iam/

Open Network Automation Platform (ONAP)

• https://github.com/onap
• https://github.com/onap/policy-engine
• 中国移动, 和美国 AT 等联合的一个基金会搞的, 有点来头 .

rules-engine:

• https://github.com/topics/rules-engine
• python: https://github.com/cloud-custodian/cloud-custodian

policy-engine:

• https://github.com/topics/policy-engine
• https://github.com/open-policy-agent/gatekeeper

[hhstore]

方案:

• 基于SDK方式设计.
• https://github.com/ory/ladon
  • ⭐⭐⭐⭐⭐
• https://github.com/keycloak/keycloak
• https://github.com/gravitee-io/graviteeio-access-management
• https://github.com/Knetic/govaluate
  • casbin 依赖
• https://github.com/casbin/casbin/tree/master/persist
• https://github.com/OpenIdentityPlatform
• https://github.com/OpenIdentityPlatform/OpenAM

Authorization 鉴权(权限管理/访问控制)

权限控制 ACL(Access Control List):

• https://github.com/topics/acl
• https://github.com/casbin/awesome-auth#golang-1

项目方案:

Open Policy Agent (OPA):

• https://github.com/open-policy-agent/opa
• https://www.openpolicyagent.org/docs/latest
• https://www.openpolicyagent.org/
• 策略引擎

casbin:

• https://github.com/casbin/casbin
• 推荐: ⭐⭐⭐⭐⭐
• 应用案例: 微软/腾讯云/vmware/等
• k8s鉴权设计, 类似此方案.

gorbac:

• https://github.com/mikespook/gorbac

案例参考:

k8s:

• github.com/kubernetes/kubernetes/pkg/apis/rbac/types.go
• github.com/kubernetes/kubernetes/pkg/apis/abac/types.go
• github.com/kubernetes/kubernetes/pkg/apis/authorization/types.go
  • k8s的权限控制: 也是 policy / subject / rule / role 设计的.
• kubernetes/pkg/apis/rbac/helpers.ResourceMatches()
  • 匹配方法

github:

• github oauth scopes:
• https://developer.github.com/apps/building-oauth-apps/understanding-scopes-for-oauth-apps/#available-scopes

[hhstore]

casbin:

• https://github.com/casbin/casbin
• An authorization library that supports access control models like ACL, RBAC, ABAC
• ACL, RBAC, ABAC
• https://casbin.org/docs/zh-CN/overview

casbin-server:

• https://casbin.org/docs/zh-CN/service
  • 部署一个服务.
• https://github.com/casbin/casbin-server
• 部署作为一个server

casbin-go-client:

• https://github.com/casbin/casbin-go-client
• 作为 casbin-server 的客户端

策略在线编辑器:

• https://casbin.org/editor/

web-UI:

• https://github.com/casbin/web-ui
• 官方提供admin

casbin:

特点

Casbin 做了什么:

支持自定义请求的格式，默认的请求格式为{subject, object, action}。
具有访问控制模型model和策略policy两个核心概念。
支持RBAC中的多层角色继承，不止主体可以有角色，资源也可以具有角色。
支持超级用户，如 root 或 Administrator，超级用户可以不受授权策略的约束访问任意资源。
支持多种内置的操作符，如 keyMatch，方便对路径式的资源进行管理，如 /foo/bar 可以映射到 /foo*

Casbin 不做的事情:

身份认证 authentication（即验证用户的用户名、密码），casbin只负责访问控制。应该有其他专门的组件负责身份认证，然后由casbin进行访问控制，二者是相互配合的关系。
管理用户列表或角色列表。 Casbin 认为由项目自身来管理用户、角色列表更为合适， 用户通常有他们的密码，但是 Casbin 的设计思想并不是把它作为一个存储密码的容器。 而是存储RBAC方案中用户和角色之间的映射关系。

官方文档:

• 官方中文文档: https://casbin.org/docs/zh-CN/overview

• 官方整理的教程: https://casbin.org/docs/zh-CN/tutorials

• 与 oauth2 结合: https://github.com/casbin/casbin/issues/52

• 自定义规则匹配示例: https://github.com/casbin/casbin/blob/master/examples/keymatch_custom_model.conf

• model语法规则: https://casbin.org/docs/zh-CN/syntax-for-models

  • 详细配置说明

• rest规则示例: https://github.com/casbin/casbin/blob/master/examples/keymatch2_policy.csv

• rest规则示例2: https://github.com/casbin/casbin/blob/master/examples/keymatch_policy.csv

特点说明:

• https://casbin.org/docs/zh-CN/rbac

有几个注意事项:

1. Casbin 只存储用户角色的映射关系。
2. Cabin 没有验证用户是否是有效的用户，或者角色是一个有效的角色。 这应该通过认证来解决。
3. RBAC 系统中的用户名称和角色名称不应相同。因为Casbin将用户名和角色识别为字符串， 所以当前语境下Casbin无法得出这个字面量到底指代用户 alice 还是角色 alice。 这时，使用明确的 role_alice ，问题便可迎刃而解。
4. 假设A具有角色 B，B 具有角色 C，并且 A 有角色 C。 这种传递性在当前版本会造成死循环。

[hhstore]

casbin 关键细节FAQ:

1. 如何存储:

• db: gorm 插件
• kv: etcd 插件 / redis / 配置中心等.
• 文件: 默认

2. 负载均衡:

• 官方基于 etcd 可以多实例扩容.

3. admin 管理:

• 官方提供 web-ui, 应该简单集成一下.

4. 如何部署?

• 官方提供一个 server 项目, 可以直接部署.

5. 客户端SDK支持:

• 官方提供 go/Python/ruby/java/rust 等主要语言支持.

[hhstore]

casbin 服务搭建:

1. 运行 casbin-server:

# 服务端:
go get github.com/casbin/casbin-server

cd casbin-server/

# gen grpc:
protoc -I proto --go_out=plugins=grpc:proto proto/casbin.proto

# 启动: 
go run main.go

2. 运行 casbin-client:

# 客户端:
go get github.com/casbin/casbin-go-client

cd casbin-go-client/

# 启动客户端:
go run main.go

[hhstore]

权限控制:

sentry 项目:

• 权限控制设计:
• API-key 设计:
• https://github.com/getsentry/sentry/blob/master/src/sentry/models/apikey.py
• 复杂的权限控制

social auth 实现:

• https://github.com/getsentry/sentry/blob/master/src/social_auth/models.py