ByteCoding

Overview Casbin 的 API 分三大类：鉴权 API、管理 API、RBAC API 123456789101112131415161718flowchart TB API[Casbin API] API --> ENFORCE[鉴权 API] API --> MGMT[管理 API] API --> RBAC[RBAC API] ENFORCE --> E1[Enforce<br/>检查权限] ENFORCE --> E2[EnforceEx<br/>检查权限 + 返回命中策略] ENFORCE --> E3[BatchEnforce<br/>批量检查] MGMT --> M1[Get 系列<br/>查询策略和角色] MGMT --> M2[Add / Remove / Update<br/>增删改策略] MGMT --> M3[AddEx 系列<br/>跳过已存在规则的批量添加] RBAC --...

Admin PortalCasdoor - 官方管理平台 Casdoor 是 Casbin 团队自己开发的 Web 端身份与访问管理平台，提供 Model Editor（模型编辑器）：可视化编辑 Casbin 模型（如 RBAC、ABAC 等的 .conf 文件） Policy Editor（策略编辑器）：可视化编辑策略规则（policy） 本质上就是一个 Casbin 的 GUI 管理后台，让你不用手写配置文件，通过网页界面就能管理权限模型和策略 第三方开源 Admin 项目 表格列出的是 基于 Casbin 做鉴权的开源后台管理系统，当前展示的是 Go 语言 部分的项目 项目 核心技术栈 亮点 Casdoor Beego + XORM + React 官方出品，功能最全 go-admin Gin + GORM + Vue + Element UI 社区活跃，国产热门脚手架 gin-vue-admin Gin + GORM + Vue + Element UI 非常流行的 Go 后台框架 gin-admin Gin + GORM + React + Ant De...

Overview Casbin 的核心只负责策略执行逻辑（model + policy），而插件负责连接外部世界 - 数据库、消息队列、Web 框架等 类别 中文名 作用 Enforcers 专用执行器 针对特定环境或场景定制的执行器 Adapters 存储适配器 对接数据库/文件/云存储，读写 model 和 policy Watchers 变更监听器 多实例之间同步 policy 变更 Dispatchers 分发协调器 分布式部署下协调策略更新 Role Managers 角色管理器 自定义角色继承/层级逻辑 Middlewares 框架中间件 集成 Gin、Nest.js、GraphQL、Kong 等 Adapters（最常用） 解决”policy 存哪“的问题 支持 MySQL、PostgreSQL、Redis、MongoDB、文件等 Casbin 核心本身只内置了文件 Adapter Watchers（分布式关键） 解决”多个 Casbin 实例间 policy 如何保持一致“的问题 典型实现：Redis ...

Data Permissions（数据权限）Implicit Roles & Permissions（隐式角色与权限） RBAC 中权限有两种获取方式： 方式 说明 对应 API 直接赋予 直接把角色/权限分配给用户 GetRolesForUser() / GetPermissionsForUser() 隐式继承 通过角色继承链传递下来的 GetImplicitRolesForUser() / GetImplicitPermissionsForUser() 示例： 12g, alice, adming, admin, superuser GetRolesForUser(alice) → 只返回 [admin]（直接分配） GetImplicitRolesForUser(alice) → 返回 [admin, superuser]（含继承链） 如果你要做数据过滤（比如”用户能看哪些数据行”），必须用隐式版本，否则继承来的权限会被漏掉 BatchEnforce()（批量鉴权） 一次调用传入多个 [subject, object, ...

Model Storage Casbin 中模型的三种加载方式 模型是”只读“的 Casbin 的 Model 定义了访问控制逻辑（谁能对什么资源做什么操作），运行时被视为静态配置 没有 API 可以保存或更新模型 - 它是设计时确定的，不是动态变化的 关键区别 方式 适用场景 优点 CONF 文件 大多数情况 清晰、可分享、易维护 代码构建 需要程序化组装模型 灵活、可条件拼接 字符串 配置中心/DB 存储 适合集中管理 三种方式加载的模型内容完全相同，区别只在于来源不同 模型一旦加载完成，后续的动态变化都体现在 Policy（策略） 上，而不是 Model 上 从 .conf 文件加载（推荐） 最常用的方式，把模型定义写在独立的配置文件中，便于分享和讨论 1234567891011121314[request_definition] # 请求定义：请求有哪些字段r = sub, obj, act # sub=主体, obj=客体/资源, act=操作...

核心架构123456789101112131415161718192021222324252627282930flowchart TB subgraph PERM["PERM 元模型"] direction LR R[Request] --> M[Matchers] --> E[Effect] P[Policy] -.-> M end subgraph Storage["Policy 存储"] direction LR Adapter1[文件] --- Adapter2[数据库] --- Adapter3[S3] end subgraph RoleManager["Role Manager"] direction TB RM[角色管理器] loaders[加载器] RM --> loaders ...

背景 不是让 Agent 更聪明，而是让错误不可发生 现象 Agent 写代码违反隐式架构规则，lint 失败后陷入修复循环，上下文窗口被塞满，最终偏离目标 根因 - Agent “看不见” “教得更好“（更长 prompt、更多示例、规范文档）有天花板 规则随代码演进、文档在 AI 不可达的地方、不同模型”常识”不一致 解法转向 Harness 工程的核心思路：从”教 Agent 怎么做“转向”让 Agent 自己验证做得对不对“ 靠 linter、测试、架构约束等机械化检查保证正确性，而非依赖 LLM 的”直觉” 本质是把 CI/CD 的拦截时机从合并前提前到写代码时 仓库是 Agent 的操作系统 把散落的知识收进仓库 精简为可按需加载的索引 只编码架构边界而非实现细节 人的角色从执行者变为系统设计者 类比 Harness = LLM 的操作系统，不是增强它的算力，而是给它一个可以可靠运行的环境 CPU LLM 计算能力极强 推理能力极强 不知道硬盘在哪、网络协议是什么 不知道分层规则、文件该放哪 需要 OS 来管理资源、提供抽...

概述 Harness 原意是”马具、线束”，在软件工程中通常指”测试线束”（test harness） - 一组用于运行和监控程序的脚手架代码 在 AI Agent 语境下，Harness 指的是包裹在基础模型（LLM）外层的一整套运行时基础设施，它不是模型本身，而是让模型能够”干活”的那套框架 核心组成 组件 作用 Tool Calling 让 Agent 调用外部工具（搜索、代码执行、API 调用等） Memory Store 短期/长期记忆，让 Agent 跨轮次保留上下文 Orchestration 编排多步推理流程（ReAct、Plan-then-Execute 等） Guardrails 安全护栏、输出校验、权限控制 Observability 日志、追踪、监控 Agent 的决策过程 单独的 LLM 只是一个 text-in / text-out 的函数，Harness 把它变成了一个能 Harness 赋能 LLM 描述 感知环境 通过工具获取实时信息 持久记忆 不局限于单次对话的上下文窗口 自主决策 ...

Anthropic Agentic Harness: LLM to Coding Agent Claude Code serves as the agentic harness around Claude It provides the tools, context management, and execution environment that turn a language model into a capable coding agent. 增强模型能力 模型本身只会生成文本，Harness 赋予了模型各种能力：读文件、写代码、搜索代码库、在终端执行命令 业界对 Agentic Harness 的核心共识 组件 职责 Agent Harness 包裹 LLM 的运行时基础设施，管理工具调度、上下文工程、安全执行、状态持久化和会话连续性 LLM 只负责推理决策 Harness 组件 Model 本身只是一个推理引擎，不能独立行动，Model 要变成 Agent，需要五个 Harness 组件 Tools 模型的手脚 Read、Write、Edit、B...

Overview Learn how to implement secure authorization for MCP servers using OAuth 2.1 to protect sensitive resources and operations. Authorization in the Model Context Protocol (MCP) secures access to sensitive resources and operations exposed by MCP servers. If your MCP server handles user data or administrative actions, authorization ensures only permitted users can access its endpoints. MCP uses standardized authorization flows to build trust between MCP clients and MCP servers. Its design doesn’t focu...