应该从初级项目开始做权限控制,但必须极简:用中间件+context解耦校验逻辑,硬编码permRoutes映射Method:Path到权限字符串,避免过早引入casbin等复杂方案。
权限控制该不该从初级项目就开始做
应该,但必须极简。很多 Go 初级项目用 if user.Role == "admin" 硬编码判断,上线后一加角色就满屏改 if,这是典型过早复杂化;更糟的是完全不做校验,API 直接裸奔。真正该做的,是把「谁能在哪条路由上做什么」这件事,用可读、可查、不侵入业务逻辑的方式固定下来。
用中间件 + context 实现最小可行权限校验
Go 标准库的 http.Handler 链天然适合做权限拦截,关键不是写多炫的 RBAC,而是让校验逻辑和业务 handler 彻底解耦。核心就三步:
- 在登录成功后,把用户角色/权限列表塞进
context.Context(例如ctx = context.WithValue(ctx, userKey, &User{Role: "editor", Permissions: []string{"post:read", "post:write"}})) - 写一个通用中间件,从
ctx取出权限,检查当前请求路径+方法是否被允许(比如POST /api/posts→ 要求有"post:write") - 用
http.HandlerFunc包裹业务 handler,而不是在每个 handler 里重复写if !hasPerm(...)
这样新增接口时,只需在中间件规则表里加一条映射,不用动任何 handler。
权限规则表怎么存才不僵硬
别用数据库或配置文件存「角色 → 权限」映射——初级项目根本没到那个量级。直接用 map 写死在代码里,清晰且可控:
var permRoutes = map[string][]string{
"GET:/api/posts": {"post:read"},
"POST:/api/posts": {"post:write"},
"DELETE:/api/posts/*": {"post:delete"},
}
注意几点:
- key 是
Method:Path拼接,避免 HTTP 方法混淆(GET /users和DELETE /users权限完全不同) - 路径支持简单通配符
*(自己用strings.HasPrefix判断即可),不用引入 full matcher - 权限字符串用冒号分隔资源与操作(
post:read),后续扩展策略(如数据行级)时结构不变
为什么不要急着上 casbin 或 rbac-go
这两个库解决的是「千人千面、策略动态更新、多租户隔离」的问题。初级项目常见场景是:3 个接口、2 种角色、权限半年不变。此时引入 casbin 会带来:
- 额外依赖和配置(
model.conf、policy.csv),每次改权限都要同步两处 - 运行时性能损耗(规则引擎解析、匹配),而你的 QPS 可能才 50
- 调试困难:报错是
"enforce failed",你得翻日志、查策略、比对 subject/object/action,不如直接看permRoutesmap 明了
等真出现「同一个角色在不同客户下权限不同」或「运营后台要自助配置权限」时,再重构也不迟。现在最该盯住的,是每条 HTTP 请求进来时,context 有没有被正确携带、中间件有没有被漏掉、403 返回是否带明确提示(比如 {"error": "permission denied", "required": "post:write"})。
