はじめに
Railsで利用できるアクセス制御ライブラリは、「Pundit」や「CanCanCan」というGemが人気でよく使われています。これらと比較するとあまり使われていない印象ですが、「CasbinRuby」というGemも存在します。
今回は「CasbinRuby」の導入・使用方法についてまとめます。
概要
CasbinRubyは、PERMメタモデル (Policy, Effect, Request, Matchers) に基づいてアクセス制御モデルを定義します。
| 種別 | 説明 | 例 |
|---|---|---|
| Request | リクエスト定義のパラメーター名と順序を指定する。 | r = sub, obj, act |
| Policy | ポリシー定義のフィールド名と順序を指定する。 | p = sub, obj, actまたはp = sub, obj, act, eft |
| Matchers | リクエストとポリシーのマッチングルールを定義する。 | m = r.sub == p.sub && r.act == p.act && r.obj == p.obj |
| Effect | マッチング結果に対して論理的な組み合わせ判断を行う。 | e = some(where(p.eft == allow)) |
subはアクセス元(例:ユーザー名)、objはアクセス先(例:データ名)、actはアクション(例:read/write)、eftはマッチング結果(省略すると常に許可される)を示します。
アクセス制御を行いたいシステムにアクセスがあったとき、アクセスをリクエスト定義に当てはめ、それがポリシー定義に適合しているかをマッチングルールで判定します。
CasbinRubyで使用する主なアクセス制御モデルのリクエスト定義およびポリシー定義は用意されています。
導入・使用方法
導入
Gemfileに以下を追記してbundle installを行います。
Gemfile
gem 'casbin-ruby'
使用方法
まず、CasbinRubyの設定ファイルを読み込むための初期設定を行います。
config/initialize/casbin.rb
require 'casbin-ruby'
Casbin::Config.setup do |config|
config.model = "path/to/model.conf"
config.adapter = "path/to/policy.csv"
config.watcher = Casbin::SomeWatcher
config.logger = Logger.new($stdout)
end
enforcer = Casbin::Enforcer.new
次にモデル定義ファイルを作成します。今回はACLモデルを使用します。
path/to/model.conf
# Request definition
[request_definition]
r = sub, obj, act
# Policy definition
[policy_definition]
p = sub, obj, act
# Policy effect
[policy_effect]
e = some(where (p.eft == allow))
# Matchers
[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act
同様にACLモデルのポリシー定義ファイルを作成します。
path/to/policy.csv
p, alice, data1, read
p, bob, data2, write
モデル定義ファイルのポリシー定義で定めた通り、最初にポリシーを示すp、次にユーザー名、次にデータ名、最後にread/writeを記述します。
以上でCasbinRubyによるアクセス制御を行う準備が整いました。最後にこれらの定義ファイルを使用してアクセス制御を行う実装を行います。
実装箇所はどこでもいいのですが、今回はすべてのコントローラーの親であるApplicationControllerのBeforeActionとしてCasbinRubyによるアクセス制御を行う実装を追加します。
app/controllers/application_controller.rb
class ApplicationController < ActionController::Base
before_action :authorize?
def authorize?
subject = @request.user.name
object = @request.data
action = @request.action
return if Rails.application.config.enforcer.enforce(subject, object, action)
raise NotFoundError
end
end
@request変数の中にアクセス元のユーザー名やアクセス先のデータ名などの情報が格納されていることとします。
これらの情報を引数にしてRails.application.config.enforcer.enforce()メソッドを呼び出すことでマッチングが行われ、その結果が真偽値で返されます。
まとめ
アクセス制御モデルをサポートする認可ライブラリ「CasbinRuby」の導入・使用方法についてまとめました。
「CasbinRuby」はACL以外にも様々なアクセス制御モデルが用意されています。例えばAPIサーバーのアクセス制御ではRESTfulモデルを使用することができます。
本記事を参考にして「CasbinRuby」を使っていただければと思います。
【JavaScript】スプレッド構文
【JavaScript】||(論理和演算子)と??(Nullish Coalescing演算子)の違い
【TypeScript】ジェネリック型
【JavaScript】3種類の変数宣言
【JavaScript】4種類の関数とそれぞれの特性・使い所
【JavaScript】「名前付きエクスポート/インポート」と「デフォルトエクスポート/インポート」
【Git】コマンドスニペット(随時更新)
【Rails】Paranoiaを使用した論理削除(ソフトデリート)
【CSS+JS】背景画像の視差効果(パララックス)を実装する方法
【CSS+JS】モーダルウィンドウを表示しその中にYouTube動画を動的に埋め込む
【Rails】アプリケーションサーバー「Unicorn」の基本情報と実装方法
【Git】マージにおけるfast-forwardとnon-fast-forwardの違い
【Rails】忘れがちなルーティングの書き方を総復習
MySQL Workbenchでリモートサーバー上のMySQLにSSH接続する方法【接続できない場合の対処法あり】
【Rails】忘れがちなGemfileの書き方を総復習
【Rails】M1チップ搭載MacでRuby on Railsの開発環境構築