rbac核心在于users、roles、permissions、role_permissions四张表的合理建模:roles需唯一code,permissions用分层字符串标识,role_permissions设(role_id,permission_id)联合唯一索引,查询优先join一次性获取权限。
怎么用 golang 实现 RBAC 的核心关系存储
RBAC 不是靠一个函数撑起来的,关键在四张表怎么建、怎么关联。别一上来就写 CheckPermission(),先理清 users、roles、permissions、role_permissions 这四张表的主外键和索引设计。
常见错误是把权限直接挂在用户上(user_permissions),绕过 role 层——这会导致角色复用失效,后期加个“审计员”角色就得改一堆代码。
-
roles表必须有唯一code字段(如"admin"、"editor"),不用依赖中文名做判断 -
permissions表推荐用分层字符串标识,比如"article:create"、"user:read:own",方便后续做前缀匹配(如"article:*") -
role_permissions必须联合唯一索引(role_id, permission_id),否则重复授权会静默失败 - 查询时优先走
JOIN而非多次select,golang 中用sqlx.Select()一次查出用户所有权限字符串比循环查快 3 倍以上
如何在 gin / echo 中拦截并校验权限
中间件里不能只检查 “有没有这个 permission”,得结合上下文——比如 "user:read:own" 和 "user:read:all" 是两回事,硬编码判断会很快失控。
典型错误是把权限字符串当开关用:if perm == "user:delete" { ... },结果新增 "user:delete:by_admin" 就得改中间件逻辑。
立即学习“go语言免费学习笔记(深入)”;
- 把权限校验拆成两步:先查用户拥有的全部权限列表(缓存到
context.Value),再交由 handler 自行判断,而不是中间件全包 - 对需要对象级控制的路由(如
/api/users/:id),在 handler 开头用c.Param("id")拿 ID,查数据库确认当前用户是否拥有该资源操作权,别指望 RBAC 表能存下所有资源实例 - Gin 中避免用
c.MustGet("user_id").(int)这种强断言,改用uid, ok := c.Get("user_id").(int),否则 panic 会炸掉整个请求链
为什么 casbin 在中小项目里反而容易踩坑
它不是银弹。很多团队引入 casbin 后发现模型配置难维护、性能瓶颈在 Enforce() 调用频次高、调试时连 enforcer.Enforce(u, r, a) 三个参数到底对应什么都要翻文档。
最常被忽略的是它的默认适配器(如 file-adapter)根本不适合生产环境——文件读写锁会导致并发请求阻塞,换成 gorm-adapter 又要额外处理事务一致性。
- 如果你的权限规则少于 50 条、角色不超过 10 个,手写一个基于 map + slice 的内存校验器比集成
casbin更快更稳 -
casbin的RBAC API(如AddRoleForUser())默认不校验参数合法性,传空字符串进去不会报错,但后续Enforce()一定返回false,日志里还看不到原因 - 它的
model.conf文件一旦用了r.sub == p.sub这类表达式,就无法支持多租户隔离,除非自己写 matcher,但这已经超出多数后端的维护能力
缓存权限数据时,redis key 设计最容易错在哪
很多人用 "user:perms:" + strconv.Itoa(uid) 当 key,看似合理,但用户角色一变,这个 key 就永远 stale 了——你得主动删,而删的动作往往被漏掉。
更麻烦的是,不同服务实例更新角色后,各自缓存不同步,A 服务刚给用户加了 admin 角色,B 服务还在用旧缓存,用户刷新页面就“权限忽有忽无”。
- 不要缓存“权限列表”,改缓存“角色列表”,然后每次校验时从角色查权限——角色变更频率远低于权限,且角色本身可设 TTL
- Redis key 推荐带版本号,比如
"user:roles:v2:123",角色变更时自增版本号,天然失效旧缓存 - 如果用 Go 的
groupcache或bigcache做本地缓存,必须监听 DB 的角色变更事件(如用 postgresql 的LISTEN/NOTIFY),否则本地缓存永远不一致
RBAC 真正难的不是实现,是权限边界的定义粒度和变更流程——比如“导出报表”该算功能权限还是数据权限?这个一旦定错,后面所有缓存、中间件、前端按钮显隐都得跟着返工。