前言
在现代 web 应用中,安全性至关重要。为了确保应用的安全性,我们需要实现“角色-权限-用户”模型,通常称为 RBAC 模型。RBAC 模型通过对用户、角色和权限的定义,将访问控制的管理任务简化为可维护和可管理的内容。
rbac-dynamoose 是一个基于 Node.js 的简单但强大的 RBAC 库,使用 AWS DynamoDB 作为数据存储。本篇文章将介绍如何使用 npm 包 rbac-dynamoose 来实现 RBAC 模型,在你的 Node.js web 应用中加强安全性。
安装
使用 npm 包管理器,可以通过如下命令安装 rbac-dynamoose:
npm install --save rbac-dynamoose
安装后,我们可以在项目中调用 rbac-dynamoose。
使用
初始化
在使用 rbac-dynamoose 之前,我们需要在 AWS DynamoDB 中创建一个表格。rbac-dynamoose 是基于 dynamoose 库创建的(详见 https://dynamoosejs.com/),因此需要初始化 dynamoose 的参数:
var dynamoose = require('dynamoose');
var AWS = require('aws-sdk');
dynamoose.AWS.config.update({ accessKeyId: 'AKID', secretAccessKey: 'SECRET', region: 'us-west-2' });
AWS.config.update({ accessKeyId: 'AKID', secretAccessKey: 'SECRET', region: 'us-west-2' });在初始化之后,我们可以通过如下代码来创建 rbac-dynamoose:
var rbacDynamoose = require("rbac-dynamoose");
rbacDynamoose.defaultTablePrefix = 'my-project';
rbacDynamoose.init({
tableName: 'rbac',
dynamodb: new AWS.DynamoDB({apiVersion: '2012-08-10'}),
awsAccountId: '123456789012'
});在上述代码中,tableName 为 DynamoDB 的表格名,dynamodb 即为 dynamoose 使用的 AWS DynamoDB 实例,awsAccountId 为 AWS 的账户 ID。
同时设置 rbac-dynamoose 库的 defaultTablePrefix,这样我们就可以为我们的项目创建自己的表格了。
RBAC 模型
rbac-dynamoose 遵循标准的 RBAC 模型。RBAC 由三种基本实体组成:角色、权限和用户。一个角色能够拥有多个不同的权限,并且一个用户可以拥有多个不同的角色。
添加角色
我们可以使用如下代码来添加新角色:
-- -------------------- ---- -------
---------------------------
------------------
---------------------------------
--------------------- ------------- --- -- ----------
--------
----------------
--------------
-----------------
------ -------- ----- ----- -
------------------
---在以上代码中,我们使用 withName、withDisplayName 和 withDescription 方法来定义角色的基本属性,以及通过 allow 方法来添加其权限。其中,toResource 和 toAction 分别为资源和操作的名称,均为通配符时表示所有资源和操作。
添加权限
我们可以使用如下代码来添加新权限:
-- -------------------- ---- -------
---------------------------------
-----------------
------------------------
--------------------- ------- -- ---- --- ----------
--------
----------------
------------------------------
-----------------
------ -------- ----- ----------- -
------------------------
---类似于添加角色,我们使用 withName、withDisplayName 和 withDescription 方法来定义权限的基本属性,以及 allow 方法来划分其操作。其中,toAction 和 onResource 分别为操作和资源的名称。
添加用户
我们既可以选择将一个角色分配给一个用户,也可以将多个角色分配给一个用户。使用如下代码为用户添加角色:
-- -------------------- ---- -------
-------------------------------------- -------- ----- ----- -
-- ----- -
-----------------
-------
-
-- ------- -
----------------- --- ---------
-------
-
--- -------- - --- ------------------------------- ----------
---------------------- ----- -
-- ----- -
-----------------
-------
-
----------------- -------- -- ---- --------------
---
---在以上代码中,我们首先通过 findByName 方法查找角色,然后使用 roleId 绑定角色和用户之间的关联关系。
检查角色是否允许某个操作
我们可以使用如下代码来检查角色是否允许执行某个操作:
-- -------------------- ---- -------
-------------------------------------- -------- ----- ----- -
------- -
-----------------
-------
-
-- ------- -
----------------- --- ---------
-------
-
------------------------------------------- ------------- ----------- -
------- -
-----------------
-------
-
-- ------------- -
----------------------- --- --------
-------
-
--- ------- - --- ------------------------
----------------------
-------------------------------------
---
---在以上代码中,我们首先通过 findByName 方法查找角色和权限,随后建立新的 ability 实例。通过 addRole 方法添加角色,然后使用 can 判断角色是否允许某个操作。
修改角色权限和添加和删除用户的角色
我们可以使用如下代码来修改角色的权限,以及添加和删除用户的角色:
-- -------------------- ---- -------
-------------------------------------- ------------- ----- -
------- -
-----------------
-------
-
-- ------- -
----------------- --- ---------
-------
-
----------------------------------------------------------------------------
----------------------- -
------- -
-----------------
-------
-
----------------- ------- ----------------
---
--- -------- - --- ------------------------------- -------- ------- ---------------
--------------------------- -
------- -
-----------------
-------
-
----------------- ---- ----- ----------------
---
------------------------------------------------- ------------- ------ -
------- -
-----------------
-------
-
----------------------------- ------ -
------- -
-----------------
-------
-
--------------------- ------------ ----------
---
---
---在以上代码中,我们通过 allow 方法来修改角色的操作权限。随后我们通过 save 方法来保存角色的修改。使用如下代码给用户添加角色:
var userRole = new rbacDynamoose.UserRole({roleId: role.id, userId: '0123456789'});
userRole.save(function(err) {
if(err) {
console.log(err);
return;
}
console.log('User Role saved successfully!');
});最后一段代码是用来删除用户角色。
删除角色和权限
我们可以使用如下代码来删除角色:
-- -------------------- ---- -------
-------------------------------------- ------------- ----- -
------- -
-----------------
-------
-
------------------------- -
------- -
-----------------
-------
-
----------------- ------- ----------------
---
---使用如下代码来删除权限:
-- -------------------- ---- -------
------------------------------------------- ------------- ----------- -
------- -
-----------------
-------
-
------------------------------- -
------- -
-----------------
-------
-
----------------------- -----------
--
---示例代码
下面是一段完整的 npm 包 rbac-dynamoose 使用示例代码:
-- -------------------- ---- -------
--- --------- - ---------------------
--- --- - -------------------
----------------------------- ------------ ------- ---------------- --------- ------- ----------- ---
------------------- ------------ ------- ---------------- --------- ------- ----------- ---
--- ------------- - --------------------------
-------------------------------- - -------------
--------------------
---------- -------
--------- --- ------------------------- ---------------
------------- --------------
---
---------------------------
------------------
---------------------------------
--------------------- ------------- --- -- ----------
--------
----------------
--------------
-----------------
------ -------- ----- ----- -
------------------
---
---------------------------------
-----------------
------------------------
--------------------- ------- -- ---- --- ----------
--------
----------------
------------------------------
-----------------
------ -------- ----- ----------- -
------------------------
---
-------------------------------------- -------- ----- ----- -
-- ----- -
-----------------
-------
-
-- ------- -
----------------- --- ---------
-------
-
--- -------- - --- ------------------------------- ----------
---------------------- ----- -
-- ----- -
-----------------
-------
-
----------------- -------- -- ---- --------------
---
---
-------------------------------------- ------------- ----- -
------- -
-----------------
-------
-
-- ------- -
----------------- --- ---------
-------
-
----------------------------------------------------------------------------
----------------------- -
------- -
-----------------
-------
-
----------------- ------- ----------------
---
--- -------- - --- ------------------------------- -------- ------- ---------------
--------------------------- -
------- -
-----------------
-------
-
----------------- ---- ----- ----------------
---
------------------------------------------------- ------------- ------ -
------- -
-----------------
-------
-
----------------------------- ------ -
------- -
-----------------
-------
-
--------------------- ------------ ----------
---
---
---
-------------------------------------- ------------- ----- -
------- -
-----------------
-------
-
------------------------- -
------- -
-----------------
-------
-
----------------- ------- ----------------
---
---
------------------------------------------- ------------- ----------- -
------- -
-----------------
-------
-
------------------------------- -
------- -
-----------------
-------
-
----------------------- -----------
--
---结论
rbac-dynamoose 是一个易于使用且功能强大的 npm 包。在你的 Node.js web 应用中,通过使用该 npm 包,你可以轻松地实现 RBAC 模型,以加强应用程序的安全性。本篇文章旨在为初学者提供指导以及深度学习之用,并提供完整的示例代码,以供参考。
来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/600558a681e8991b448d5f74