【Rails】アクセス制御モデルをサポートする認可ライブラリ「CasbinRuby」の導入・使用方法

はじめに

Railsで利用できるアクセス制御ライブラリは、「Pundit」や「CanCanCan」というGemが人気でよく使われています。これらと比較するとあまり使われていない印象ですが、「CasbinRuby」というGemも存在します。

今回は「CasbinRuby」の導入・使用方法についてまとめます。

概要

CasbinRubyは、PERMメタモデル (Policy, Effect, Request, Matchers) に基づいてアクセス制御モデルを定義します。

種別 説明
Request リクエスト定義のパラメーター名と順序を指定する。 r = sub, obj, act
Policy ポリシー定義のフィールド名と順序を指定する。 p = sub, obj, actまたはp = sub, obj, act, eft
Matchers リクエストとポリシーのマッチングルールを定義する。 m = r.sub == p.sub && r.act == p.act && r.obj == p.obj
Effect マッチング結果に対して論理的な組み合わせ判断を行う。 e = some(where(p.eft == allow))

subはアクセス元(例:ユーザー名)、objはアクセス先(例:データ名)、actはアクション(例:read/write)、eftはマッチング結果(省略すると常に許可される)を示します。

アクセス制御を行いたいシステムにアクセスがあったとき、アクセスをリクエスト定義に当てはめ、それがポリシー定義に適合しているかをマッチングルールで判定します。

CasbinRubyで使用する主なアクセス制御モデルのリクエスト定義およびポリシー定義は用意されています。

導入・使用方法

導入

Gemfileに以下を追記してbundle installを行います。

Gemfile

gem 'casbin-ruby'

使用方法

まず、CasbinRubyの設定ファイルを読み込むための初期設定を行います。

config/initialize/casbin.rb

require 'casbin-ruby'

Casbin::Config.setup do |config|
  config.model = "path/to/model.conf"
  config.adapter = "path/to/policy.csv"
  config.watcher = Casbin::SomeWatcher
  config.logger = Logger.new($stdout)
end

enforcer = Casbin::Enforcer.new

次にモデル定義ファイルを作成します。今回はACLモデルを使用します。

path/to/model.conf

# Request definition
[request_definition]
r = sub, obj, act

# Policy definition
[policy_definition]
p = sub, obj, act

# Policy effect
[policy_effect]
e = some(where (p.eft == allow))

# Matchers
[matchers]
m = r.sub == p.sub && r.obj == p.obj && r.act == p.act

同様にACLモデルのポリシー定義ファイルを作成します。

path/to/policy.csv

p, alice, data1, read
p, bob, data2, write

モデル定義ファイルのポリシー定義で定めた通り、最初にポリシーを示すp、次にユーザー名、次にデータ名、最後にread/writeを記述します。

以上でCasbinRubyによるアクセス制御を行う準備が整いました。最後にこれらの定義ファイルを使用してアクセス制御を行う実装を行います。

実装箇所はどこでもいいのですが、今回はすべてのコントローラーの親であるApplicationControllerのBeforeActionとしてCasbinRubyによるアクセス制御を行う実装を追加します。

app/controllers/application_controller.rb

class ApplicationController < ActionController::Base
  before_action :authorize?

  def authorize?
    subject = @request.user.name
    object  = @request.data
    action  = @request.action

    return if Rails.application.config.enforcer.enforce(subject, object, action)

    raise NotFoundError
  end
end

@request変数の中にアクセス元のユーザー名やアクセス先のデータ名などの情報が格納されていることとします。

これらの情報を引数にしてRails.application.config.enforcer.enforce()メソッドを呼び出すことでマッチングが行われ、その結果が真偽値で返されます。

まとめ

アクセス制御モデルをサポートする認可ライブラリ「CasbinRuby」の導入・使用方法についてまとめました。

「CasbinRuby」はACL以外にも様々なアクセス制御モデルが用意されています。例えばAPIサーバーのアクセス制御ではRESTfulモデルを使用することができます。

本記事を参考にして「CasbinRuby」を使っていただければと思います。

関連記事

【Rails】RSpecを使った自動テスト《システムスペック編》
# はじめに Railsでアプリケーションを開発する際、品質を担保するためにテストは欠かせません。その中でも、RSpecは多くの開発者に愛用されているテストフレームワークです。 今回は、RSpecを使ったRailsアプリケーションのテスト方 [...]
2024年7月11日 17:07
【Rails】RSpecを使った自動テスト《リクエストスペック編》
# はじめに Railsでアプリケーションを開発する際、品質を担保するためにテストは欠かせません。その中でも、RSpecは多くの開発者に愛用されているテストフレームワークです。 今回は、RSpecを使ったRailsアプリケーションのテスト方 [...]
2024年7月11日 16:06
【Rails】RSpecを使った自動テスト《コントローラースペック編》
# はじめに Railsでアプリケーションを開発する際、品質を担保するためにテストは欠かせません。その中でも、RSpecは多くの開発者に愛用されているテストフレームワークです。 今回は、RSpecを使ったRailsアプリケーションのテスト方 [...]
2024年7月11日 15:39
【Rails】RSpecを使った自動テスト《モデルスペック編》
# はじめに Railsでアプリケーションを開発する際、品質を担保するためにテストは欠かせません。その中でも、RSpecは多くの開発者に愛用されているテストフレームワークです。 今回は、RSpecを使ったRailsアプリケーションのテスト方 [...]
2024年7月11日 11:50
【Rails】RSpecを使った自動テスト《基本編》
# はじめに Railsでアプリケーションを開発する際、品質を担保するためにテストは欠かせません。その中でも、RSpecは多くの開発者に愛用されているテストフレームワークです。 今回は、RSpecを使ったRailsアプリケーションのテスト方 [...]
2024年7月10日 17:49
【Rails】デザインパターン「Concern」の基本情報と実装方法
# はじめに Ruby on RailsなどのMVCフレームワークで構築したWebシステムにはアンチパターンというものが存在します。システム開発におけるアンチパターンとは、避けるべき悪い設計や実装方法のことを指します。 MVCフレームワーク [...]
2024年7月10日 13:32
【Rails】デザインパターン「Form Object」の基本情報と実装方法
# はじめに Ruby on RailsなどのMVCフレームワークで構築したWebシステムにはアンチパターンというものが存在します。システム開発におけるアンチパターンとは、避けるべき悪い設計や実装方法のことを指します。 MVCフレームワーク [...]
2024年7月6日 22:50
【Rails】デザインパターン「Service Object」の基本情報と実装方法
# はじめに Ruby on RailsなどのMVCフレームワークで構築したWebシステムにはアンチパターンというものが存在します。システム開発におけるアンチパターンとは、避けるべき悪い設計や実装方法のことを指します。 MVCフレームワーク [...]
2024年7月6日 19:59