使用微點存取控制程式庫的範例

本主題提供一些範例,說明如何使用資源庫和鏈碼。這些範例皆假設已呼叫 Init() 函數來建立啟動安裝實體,且 Init()invoke() 的呼叫程式為 "%CN%frank.thomas@example.com"。應用程式中的一般流程是建立一些初始存取控制清單,用於授予或拒絕其他實體的存取權。

起始

呼叫 Initialization() 函數,以在部署鏈碼時建立啟動安裝實體。舉例而言:

import "chaincodeACL"
func (t \*SimpleChaincode) Init(nil, stub shim.ChaincodeStubInterface) pb.Response
{
         err := chaincodeACL.Initialization(stub)
}

建立 ACL

import "chaincodeACL"
...
{

**ACLMgr**  := chaincodeACL.NewACLManager(nil, stub) // Not specify identity, use caller's identity as default.

// Define a new ACL
**newACL**  := chaincodeACL.ACL{

    "AllowAdmins",   // ACL name
    "Allow administrators full access",  // Description
    []string{"CREATE","READ","UPDATE","DELETE"},    // Accesses allowed or not
    true, // Allowed
    []string{"%CN%bob.dole@example.com","%OU%example.com,"%GRP%admins"}, // Initial identity patterns
    ".ACLs.acl", // Start with bootstrap ACL

}

// Add this ACL with default identity (caller's identify here)
err :=  **ACLMgr**.Create( **newACL** , nil)

}

您可以使用新的 ACL 來修改能夠執行特定作業的人員。首先,將此新的 ACL 新增至啟動安裝群組 .Groups,以允許任何管理員建立群組。

新增 ACL 至群組

import "chaincodeACL"
…
{

  **groupMgr**  := chaincodeACL.NewGroupManager(nil, stub) // Not specify identity, use caller's identity as default.
  err :=  **groupMgr**.AddAfterACL(

    ".Groups",     // Bootstrap group name
    ".Groups.ACL", // Which ACL to add after
    "AllowAdmins", // The new ACL to add
    nil            // with default identity that's frank.thomas

)

}

這樣會在初始啟動安裝 ACL 之後,將 AllowAdmins ACL 新增至啟動安裝群組 .Groups。因此,這可確保 Frank Thomas 仍然可以在 .Groups 群組上完成作業,因為授權 Frank 權限的 ACL 會先在清單中完成。現在,任何符合 AllowAdmins ACL 的人員都可以完成 CREATE、READ、UPDATE 或 DELETE 作業 (他們現在可以建立群組)。

建立群組

管理員現在可以建立群組。

import "chaincodeACL"
...
{

...
  // Define a new group.
  **newGroup**  := chaincodeACL.Group{

      "AdminGrp",   // Name of the group
      "Administrators of the app",   // Description of the group
      {"%CN%jill.muller@example.com","%CN%ivan.novak@example.com","%ATTR%role=admin"},
      []string{"AllowAdmins"},   // The ACL for the group

    }

  **groupMgr**  := chaincodeACL.NewGroupManager(nil, stub)   // Not specify identity, use caller's identity as default.
  err :=  **groupMgr**.Create( **newGroup** , bob\_garcia\_certificate)   // Using a specific certificate

...
}

此呼叫使用明確的識別 (Bob Garcia,使用其憑證) 來嘗試建立群組。因為 Bob Garcia 符合 AllowAdmins ACL 中的樣式,且該 ACL 的成員可以在啟動安裝群組 .Groups 上執行 CREATE 作業,此呼叫將會成功。如果不是組織單位 example.com 或群組 AdminGrp (仍不存在) 中的 Jim Silva,其憑證是最後的引數,呼叫會失敗,因為他沒有適當的權限。此呼叫會建立名為 "AdminGrp" 的群組,群組初始成員為 jill.muller@example.com 和 ivan.novak@example.com,或具有屬性 (ABAC) role=admin 的任何人。

建立資源

import "chaincodeACL"
...
{

  ...
  **newResource**  :=  **chaincodeACL**.Resource{

      "transferMarble", // Name of resource to create

      "The transferMarble chaincode function", // Description of the resource

      []string{"AllowAdmins"}, // Single ACL for now allowing administrators

  }

  **resourceMgr**  :=  **chaincodeACL**.NewResourceManager(nil, stub)  // Not specify identity, use caller's identity as default.
  err :=  **resourceMgr**.Create(resourceMgr, nil)   // Using caller's certificate

  ...
}
這會建立名為 transferMarble 的資源,讓應用程式可用來控制對 transferMarble 鏈碼功能的存取。存取目前受 AllowAdmins 存取控制清單限制。

檢查資源的存取權

您可以在您的鏈碼中使用此新資源,僅允許管理員透過修改「大理石」鏈碼的 invoke() 方法 (如下列程式碼所示):

import "chaincodeACL"
…
func (t \*SimpleChaincode) Invoke(stub shim.ChaincodeStubInterface) pb.Response {

  **resourceMgr**  :=  **chaincodeACL**.NewResourceManager(nil, stub)   // Not specify identity, use caller's identity as default.

  function, args := stub.GetFunctionAndParameters()

  fmt.Println("invoke is running " + function)        // Handle different functions

  if function == "initMarble" {   //create a marble

      return t.initMarble(stub, args)}

  else if function == " **transferMarble**" { //change owner of a specific marble

    **allowed** , err : =  **resourceMgr**. **CheckAccess** ("transferMarble", "UPDATE", nil)
    if  **allowed**  == true {

      return t.transferMarble(stub, args)

    else {

      return NOACCESS

    }

    } else if function == "transferMarblesBasedOnColor" { //transfer all marbles of a certain color
    …

    }

}