CASL权限管理库高级指南：自定义权限能力

前言

CASL是一个强大的权限管理库，它采用声明式API来定义和管理应用程序中的用户权限。本文将深入探讨CASL的高级功能——如何自定义权限能力，包括扩展条件运算符、实现自定义条件匹配器以及自定义字段匹配器。

扩展条件运算符

CASL底层使用ucast库来实现MongoDB风格的查询语言，这为权限条件定义提供了极大的灵活性。虽然默认支持的运算符已经足够丰富，但在某些场景下，我们可能需要：

1. 添加非标准运算符
2. 限制可用运算符以减少包体积
3. 启用默认未包含的运算符（如$nor）

添加$nor运算符示例

$nor运算符在MongoDB中表示"都不满足"的逻辑，下面是如何将其添加到CASL中：

import {
  createMongoAbility,
  AbilityBuilder,
  buildMongoQueryMatcher,
} from '@casl/ability';
import { $nor, nor } from '@ucast/mongo2js';

// 构建包含$nor运算符的条件匹配器
const conditionsMatcher = buildMongoQueryMatcher({ $nor }, { nor });

function defineArticlePermissions(user) {
  const { can, build } = new AbilityBuilder(createMongoAbility);

  // 使用$nor定义权限：文章不是私有的或者作者不是当前用户
  can('read', 'Article', {
    $nor: [{ private: true }, { authorId: user.id }]
  });

  return build({ conditionsMatcher });
}

限制可用运算符

为了安全性和性能考虑，我们可能只想允许基本的$eq和$in运算符：

import { $in, within, $eq, eq, createFactory } from '@ucast/mongo2js';

// 创建仅支持$eq和$in的匹配器
const conditionsMatcher = createFactory({ $in, $eq }, { in: within, eq });

function defineArticlePermissions(user) {
  const { can, build } = new AbilityBuilder(createMongoAbility);

  // 简单相等条件
  can('read', 'Article', { authorId: user.id });
  
  // 使用$in条件
  can('read', 'Article', { status: { $in: ['draft', 'published'] } });

  return build({ conditionsMatcher });
}

这种限制不仅能防止开发者使用复杂条件，还能通过tree-shaking减少前端包体积。

自定义条件匹配器

如果需要完全自定义条件匹配逻辑，可以使用PureAbility类而非createMongoAbility工厂函数。PureAbility不预设任何配置，提供了最大的灵活性。

函数式条件匹配器示例

下面实现一个允许使用函数作为条件的匹配器：

import { PureAbility, AbilityBuilder } from '@casl/ability';

// 定义应用权限类型
type AppAbility = PureAbility<AbilityTuple, MatchConditions>;

// 简单的lambda匹配器
const lambdaMatcher = (matchConditions) => matchConditions;

function defineArticlePermissions(user): AppAbility {
  const { can, build } = new AbilityBuilder(PureAbility);

  // 使用函数定义权限条件
  can('read', 'Article', ({ authorId }) => authorId === user.id);
  can('read', 'Article', ({ status }) => ['draft', 'published'].includes(status));

  return build({ conditionsMatcher: lambdaMatcher });
}

注意：条件匹配器必须是同步函数，不支持异步操作。

虽然函数式条件非常灵活，但不建议在需要序列化规则或将规则转换为数据库查询的场景中使用。

自定义字段匹配器

字段匹配器负责处理can方法的第三个参数（字段列表）。默认实现已经支持字段模式匹配，但在极少数情况下可能需要自定义。

简化字段匹配器示例

下面实现一个不支持模式匹配的简单字段匹配器：

import { createMongoAbility, AbilityBuilder } from '@casl/ability';

// 简单字段匹配器，仅支持精确匹配
const fieldMatcher = fields => field => fields.includes(field);

function defineArticlePermissions(user) {
  const { can, build } = new AbilityBuilder(createMongoAbility);

  // 定义可读字段
  can('read', 'Article', ['title', 'content']);

  return build({ fieldMatcher });
}

最佳实践建议

1. 优先使用默认匹配器：除非有特殊需求，否则应使用CASL提供的默认实现
2. 谨慎扩展运算符：添加新运算符前，确保了解其对性能和序列化的影响
3. 保持匹配器简单：复杂的匹配逻辑会增加维护难度和潜在错误
4. 考虑包大小：通过限制运算符来优化前端包体积

总结

CASL提供了多种方式来定制权限能力，从简单的运算符扩展到完全自定义的匹配逻辑。这种灵活性使得CASL能够适应各种复杂的权限场景，同时保持核心API的简洁性。通过合理利用这些高级功能，开发者可以构建出既安全又高效的权限系统。