使用JWT实现用户认证并在Token中携带角色信息;2. 通过Gin中间件解析Token并校验角色权限;3. 在路由中为接口绑定对应权限中间件;4. 可扩展RBAC模型结合Casbin实现细粒度访问控制。
在Golang项目中实现基础的用户权限控制,关键在于设计合理的身份认证、角色管理和访问控制逻辑。下面通过一个简洁实用的实战结构,说明如何一步步搭建基础权限系统。
1. 用户认证与角色定义
权限控制的前提是知道“谁在访问”。通常使用JWT(JSON Web Token)进行用户登录认证,并在Token中携带用户基本信息和角色。
示例:定义用户模型和角色常量
type User struct {
ID uint `json:"id"`
Name string `json:"name"`
Email string `json:"email"`
Role string `json:"role"` // 如 "admin", "user", "guest"
}
登录成功后生成带有角色信息的JWT:
2. 中间件实现权限校验
通过HTTP中间件对请求进行拦截,解析Token并判断是否有权访问目标接口。
立即学习“go语言免费学习笔记(深入)”;
示例:编写Auth中间件
func AuthMiddleware(requiredRole string) gin.HandlerFunc {
return func(c *gin.Context) {
tokenString := c.GetHeader("Authorization")
if tokenString == "" {
c.JSON(401, gin.H{"error": "未提供Token"})
c.Abort()
return
}
// 解析Token...
claims := &jwt.MapClaims{}
token, err := jwt.ParseWithClaims(tokenString, claims, func(token *jwt.Token) (interface{}, error) {
return []byte("your_secret_key"), nil
})
if err != nil || !token.Valid {
c.JSON(401, gin.H{"error": "无效或过期的Token"})
c.Abort()
return
}
userRole := (*claims)["role"].(string)
if userRole != requiredRole && requiredRole != "user" { // 可扩展为角色层级
c.JSON(403, gin.H{"error": "权限不足"})
c.Abort()
return
}
c.Set("user", *claims)
c.Next()
}
}
3. 路由层绑定权限策略
在Gin路由中为不同接口指定所需的角色权限。
示例:注册带权限控制的路由
r.GET("/api/user/profile", AuthMiddleware("user"), ProfileHandler)
r.GET("/api/admin/dashboard", AuthMiddleware("admin"), AdminHandler)
- 普通用户只能访问个人资料
- 管理员可访问管理后台
- 支持灵活组合中间件,如先用通用Auth再加角色判断
4. 扩展建议:基于RBAC的细粒度控制
当系统复杂度上升时,可引入RBAC(基于角色的访问控制)模型:
- 定义角色(Role)、权限(Permission)、资源(Resource)三者关系
- 数据库存储角色-权限映射表
- 中间件中查询当前角色是否拥有某接口权限
- 使用Casbin等开源库简化权限规则管理
Casbin配置示例:
e := casbin.NewEnforcer("auth_model.conf", "auth_policy.csv")
if !e.Enforce(sub, obj, act) { // 判断 sub 是否能对 obj 执行 act
// 拒绝访问
}
