go简易权限管理核心是用User和ActionRule结构体+映射实现轻量校验:按role预加载规则,中间件统一校验Resource/action/scope,支持jsON配置热加载及govaluate动态条件表达式。
用 Go 实现简易权限管理,核心在于把“谁(用户)能做什么(操作)在哪个资源(对象)上”说清楚,不追求 RBAC 大而全,而是用结构体 + 映射 + 简单校验快速落地。
权限模型怎么定义才够用
不需要一开始就搞 Role、Permission、Resource 三张表。从实际接口控制出发,定义两个关键结构:
- User:含 ID、角色标识(如 “admin”、”editor”)、所属部门等基础字段
- ActionRule:描述一条权限规则,比如
{"resource": "article", "action": "delete", "scope": "own"},其中 scope 可为 “own”(仅自己)、”dept”(本部门)、”all”(全部)
运行时把规则按 user.role 预加载进 map[String][]ActionRule,查权限时直接取对应角色的规则列表遍历比对,轻量且易调试。
接口级权限校验怎么写才干净
在 http handler 中不写 if-else 堆逻辑。推荐用中间件封装校验:
立即学习“go语言免费学习笔记(深入)”;
- 提取用户身份(从 JWT 或 session),拿到 role 和 userID
- 根据当前请求的 resource(如 /api/v1/articles)和 method(DELETE)推导出要检查的 action(如 “delete”)
- 调用
Can(user, "article", "delete", targetID)—— 这个函数内部判断 targetID 是否属于该用户/部门/全局范围
例如删除文章时传入 targetID = 123,函数会查数据库确认 article 123 的 author_id 是否等于当前用户 ID,匹配 “own” 规则即放行。
动态权限配置怎么避免硬编码
把规则存在 json 文件或简单 DB 表里,启动时加载到内存:
- JSON 示例:
[{"role":"editor","resource":"article","action":"create","scope":"own"},{"role":"admin","resource":"user","action":"update","scope":"all"}] - 程序启动时解析为
map[string][]ActionRule,key 是 role 名,值是该角色所有允许的操作 - 修改权限只需改配置、热重载(或重启),无需改代码
开发阶段甚至可以用一个本地 map 模拟,上线再切到文件或 DB,平滑过渡。
扩展性留一手:支持简单表达式
如果某天需要 “编辑自己创建且未发布的文章”,纯 scope 不够用了。可以在 ActionRule 里加一个 condition string 字段,存类似 "status == 'draft' && author_id == :user_id" 的表达式。
用开源库如 govaluate 安全执行,传入 map[string]Interface{}{ “user_id”: 123, “status”: “draft”, … } 即可求值。不用自己写解释器,也避免 sql 注入风险。
基本上就这些。不复杂但容易忽略的是:权限校验必须在业务逻辑之前做,且失败时统一返回 403;规则加载要有日志和 panic 捕获;测试时多用 table-driven 方式覆盖各种 role+action+scope 组合。