多租户（multi-tenancy）是一种软件架构技术，是实现在多租户的环境下共用相同的系统或程序组件，并且保证各用户间的数据隔离，也可称作域租户。

PHP-Casbin 不仅提供了全局的 RBAC 的权限模型，而且还支持特定域的权限模型。特定租户 / 域的角色意味着当用户在不同的租户 / 域中时，用户可以拥有不同的角色，亦拥有不同的权限策略。在大型项目中，特别是在像 SaaS PaaS 这种云服务中，不同的租户需要拥有独立的权限控制，这就非常有用。

用例

这里我以一个多商户的电商平台为例，电商平台的商户就是租户，每个商户有自己的管理人员，可以分配不同的角色，定义自己的权限。这些商户间的数据在逻辑上是完全隔离的，但他们共享这个电商平台的其他资源。

多商户电商平台

商户1，用户1，属于管理员角色
      商品1

商户2，用户2，属于管理员角色
      商品2

如上述，在这个电商平台下，每个商户就是一个租户，在每个商户下面有用户和商品。这些用户和商品是相互隔离的，并且在每个商户下面都有一套独立的权限控制系统。

模型

在官方仓库中提供了多租户的模型配置，rbac_with_domains_model.conf:

[request_definition]
r = sub, dom, obj, act

[policy_definition]
p = sub, dom, obj, act

[role_definition]
g = _, _, _

[policy_effect]
e = some(where (p.eft == allow))

[matchers]
m = g(r.sub, p.sub, r.dom) && r.dom == p.dom && r.obj == p.obj && r.act == p.act

通过上面的模型配置，可以看出，相比普通的 RBAC 模型，它多了一个 dom 参数，这个 dom 就是上文所说的商户 (domain)。

在 [role_definition] 中 g = _, _, _，有三个占位符，分别代表：用户、角色、租户/域。

在 [matchers] 中的 g(r.sub, p.sub, r.dom) 就是判断用户、角色和租户/域之间的关系。

策略

根据上面的用例要求，下面分别定义了商户 1（tenant1）和商户 2（tenant2）的管理员权限策略，并且在各自的租户下赋予了 user1 和 user2 的管理员 (admin) 角色。

p, admin, tenant1, goods1, read
p, admin, tenant1, goods1, write

p, admin, tenant2, goods2, read
p, admin, tenant2, goods2, write

g, user1, admin, tenant1
g, user2, admin, tenant2

上面的策略配置在 rbac_with_domains_policy.csv 文件中。

决策

如果你的项目还有没有引入 Casbin 依赖，则需要安装一下，通过 composer require casbin/casbin。

这是演示的是纯原生 PHP 代码，先初始化一个决策器 Enforcer。如果是在 Laravel、ThinkPHP、Yii 等主流框架中，可以直接使用对应的扩展，拿到决策器的 Facade 即可。

<?php

require_once './vender/autoload.php';

use CasbinEnforcer;

$enforcer = new Enforcer('path/to/rbac_with_domains_model.conf'， 'path/to/rbac_with_domains_policy.csv');

上面实例化了一个决策器 (Enforcer)，首先，来验证一下商户 1 下用户的权限：

var_dump(
    $enforcer->enforce('user1', 'tenant1', 'goods1', 'read'), // true
    $enforcer->enforce('user1', 'tenant1', 'goods1', 'write'), // true
    $enforcer->enforce('user1', 'tenant2', 'goods2', 'read'), // false
    $enforcer->enforce('user1', 'tenant2', 'goods2', 'write'), // false
);

可以看出，在商户 1 下，用户 1 对商品 1 拥有 read 和 write 的，但他对商户 2 下的商品是没有权限的。

同样，下面验证商户 2 的权限，在商户 2 下，用户 2 对商品 2 有权限，而对商户 1 是没有权限的。

var_dump(
    $enforcer->enforce('user2', 'tenant1', 'goods1', 'read'), // false
    $enforcer->enforce('user2', 'tenant1', 'goods1', 'write'), // false
    $enforcer->enforce('user2', 'tenant2', 'goods2', 'read'), // true
    $enforcer->enforce('user2', 'tenant2', 'goods2', 'write'), // true    
);

结语

假设你正在开发一个面向企业的 SaaS 云服务平台，多租户权限控制的设计一定是必不可少。多租户实现了多个租户共享相同的资源和组件，租户之间的数据隔离，具有很高的成本效益，具有很大的灵活性和可扩展性。通过 PHP-Casbin 就可以快速的实现的多租户权限控制模型的设计和开发。